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序文 


本書は、 IT 管理者、または ThinkVantage® Client Security Solution および Think Vantage Fingerprint Software を 
組織内の PC にデプロイする担当者を対象としています。本書は、 Client Security So 山 tion および指紋認証 
ソフトウェアを1をな上の PC にインストールするために必要な情報を提供します。各ターゲット PC で同 
ソフトウェアのライセンスが有効であることが条件となります。 

Client Security Solution と指紋認証ソフトウェアの目的は、クライアント*データを保護することによっ 
てお客様のシステムを保護し、セキュリティー-ブリーチ（抜け穴）を犯そうとする試みを食い止める 
ことです。 Client Security Solution および指紋認証ソフトウェアに組みをまれているさまざまなコン 
ポーネントの使用に関する質問および情報は、そのコンポーネントのオンライン•ヘルプ-システム 
(http://www.lenovo.com/thinkvantage) を参照して ください。 

本書は定期的に更新されるため、な下の Web サイトにアクセスして新しい資料を確認してください。 
http :// www . lenovo . com/thmKvantage 

ご提案またはコメントは、 Lenovo® 認定担当者にご連絡ください。 
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第 1 章概要 


本章では 、 Client Security Solution および指紋認証ソフトウェアの概要を示します。本デプロイメント•ガ 
イドで説明されているテクノロジーは、 PC の使い勝手と自己完結性を向上させ、展開を促進し単純 
化する強力なツールを提供するので、打プロフェッショナルの方に大きなメリットをもたらします。 
ThinkVantage テクノロジーの支援により、打プロフェッショナルの方は、個別の PC の問題を解決する時 
間を短縮できるので、本来の作業に多くの時間を費やすことができるようになります。 


Client Security : >olution 

Client Security Solution ソフトウェアの第一の目的は、お客様が資産としての PC を保護し、 PC 上の機密 
データを保護し、さらに PC がアクセスするネットワーク接続を保護することを補助することです。 

(TCG (Trusted Computing Group ) という業界団体が仕様を定めている TPM (Trusted Platform Module ) を含 
む Lenovo システムの場合 、 Client Security Solution ソフトウェアは、システムのトラステッド*ルート 
としてハードウェアを活用します。システムにエンべデッド.セキュリティー.チップが含まれてい 
ない場合 、 Client Security Solution は、システムのトラステッド*ルートとしてソフトウェア*ベース 
の暗号化鍵を活用します。） 

Client Security Solution バージョン 8.2 には、な下の機能が含まれています。 

• Windows ® パスワードまたは Client Security Solution パスフレーズによるユーザー認証の保護 

Client Security Solution は、認証の瞭にユーザーの Windows パスワードまたは Client Security Solution パス 
フレーズを受け入れるように構成できます。 Windows パスワードの場合は Windows を使用するため、 
便利で管理が容易です 。 Client Security Solution パスフレーズではセキュリティーが強化されます。 
どちらの認証方式を使用するかは管理者が選択でき、この設定はユーザーが Client Security Solution 
に登録した後でも変更することが可能です。 

. 指紋によるユーザー認証 

内蔵、または USB 接続の指紋センサーを活用し、パスワードで保護されたアプリケーションに対し 
てユーザーを認証します。 

• 多層のユーザー認証による Windows ログオンおよびさまざまな Client Security Solution 操作 

さまざまなセキュリティー関連操作に対して複数の認証装置 ( Windows パスワード / Client Security パスフ 
レーズ、および指紋）を定義します。 

. パスワード管巧 

ユーザー ID やパスワードなどの重要なログオン情報を巧全に管理し、保存します。 

. パスワード/パスフレーズの復元 

パスワードおよびパスフレーズの復元を利用して、 Windows パスワードまたは畑 ent Security Sol 山 ion パ 
スフレーズを忘れた場合でも、事前に構成されたセキュリティーの質問に答えることにより 、 Windows 
にログインし 、 Client Security Sol 山 ion クレデンシャルにアクセスすることができます。 

. セキュリティー設定の監査 

ユーザーが、詳細なワークステーション•セキュリティー設定のリストを表示し、定義された規格 
に準拠するように変更できるようにします。 

• ディジタル証明書の転送 

Client Security Solution は、ユーザーと PC の証明書の秘密鍵を保護します 。 Client Security Solution を 
使用することにより、既存の証明書の秘密鍵が保護されます。 

. 認証のポリシー管理 

管理者は 、 Windows ログオン 、 Password Manager 、 および証明書の操作といったアクションの場合、認 
証にどの装置 ( Windows パスワード 、 Client Security Solution パスフレーズ、または指紋）が必要かを 
選択することができます。 
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Client Security Solution パ スフレー ズ 

Client Security Solution パスフレーズは、 Client Security Solution に拡張セキュリティーを提供する、ユー 
ザー認証のオプション機能です。 Client Security So 山 tion パスフレーズの要件は、な下のとおりです。 

• 8文宇な上の長さ 

. 数字が1文字な上入っていること 
• 最近の3回のパスフレーズと異なること 
• 反復文字は2文宇な内 
. 先頭に数宇を使用しない 
. 末尾に数宇を使用しない 
• ユーザー ID を含めない 

• 現在のパスフレーズを設定してから3日な内は変更しない 
• 現在のパスフレーズと同一の文宇を連続して3文字な上使用しない 

• Windows パスワードと異なる 

Client Security Solution パスフレーズを知っているのは個々のユーザーだけです。 Client Security Sol 山 ion パ 
スフレーズを忘れた場合に復元する唯一の方法は、 Client Security Solution パスワード復元機能を実行する 
ことです。ユーザーが復元のための質問に対する回答を忘れてしまった場合、 Client Security Solution 
パスフレーズで保護されたデータを復元する方法はありません。 

Client Security パスワードの復元 

このオプション機能を使用すると、登録された Client Security ユーザーは、 Windows パスワードや Client 
Security パスフレーズを忘れた場合に、3 つの 質問に正しく答えることにより、復元することができま 
す。この機能が有効である場合、ユーザーは、10の質問の中から3つを選択し、それぞれの質問に対 
する回答を入力します。ユーザーが Windows パスワードや Client Security パスフレーズを忘れた場合 
は、これら3 つの 質問に回答して、そのパスワードやパスフレーズを自分でリセットするというオプ 
ションが用意されています。 

注： 

1. Client Security パスフレーズを使用する場合、 Client Security パスワードの復元機能は忘れたパスフレー 
ズを復元するための唯一のオプションです。ユーザーは、それら3つの質問に対する回答を忘れた場 
合、登録ウィザードを再実行しなくてはならず、前の Client Security 保護データはすべて失われます。 

2. Client Security を使用して Rescue and Recovery ® ワークスペースを保護する場合、『パスワード復元』 
オプションによって、ユーザーの Client Security パスフレーズおよび/または Windows パスワードが実 
際に表示されます。パスフレーズまたはパスワードが表をされるのは、 Rescue and 民 ecovery ワークス 
ペースが Windows パスワードの変更を自動的に実行する機能を持たないためです。ワイヤレス （ネッ 
トワークに接続されていない口ーカル•キャッシュ.ドメイン）ユーザーが Windows ログオンでこの 
機能を実行する場合にも、パスフレーズまたはパスワードが表をされます。 

Client Security Password Manager 

Client Security Password Manager を使用すると、ユーザーの、パスワード、およびその他の個人情報など 
の、忘れやすいアプリケーションや Web サイトの情報を管理することができます。 Client Security 
Password Manag ぴは、ユーザーのアプリケーションや Web サイトへのアクセス全体がセキュアに保た 
れるように、畑 ent Security Sol 山 ion によってユーザーの個人情報を保護します。また、 Client Security 
Password Manager プログラムでは、1 つの パスワードまたはパスフレーズを覚えておくか、指紋を使用 
すればよいため、時間とを力が節約されます。 

Client Security Password Manager を使用すると、な下の機能を実行できます。 
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.Client Security Solution ソフトウェアによるすべての保存情報の暗号化 

Client Security Solution によってユーザーのすべての情報が自動的に暗号化されます。これにより、重要 
なパスワード情報が 、 Client Security Solution 暗号化鍵によって保護されます。 

• ユーザー ID とパスワードの 自動入力 

アプリケーションまたは Web サイトにアクセスする隙に、ログイン•プロセスを自動化します。ログ 
オン情報が Client Security Password Manager に入力されている場合は 、 Client Security Password Manager が 
自動的に必須フィールドへの記入を巧い、 Web サイトまたはアプリケーションに実行依頼します。 

• Client Security Password Manager インターフェースを使用した項目のお集 

アカウント項目を編集し、すべてのオプション機能を1 つの 使いやすいインターフェースにセットアッ 
プすることができます。このインターフェースにより、パスワードと個人情報の管理を迅速かつ容易に 
巧えるようになります。ただし、変更に関連する項目のほとんどは Client Security Password Manager が自 
動的に検出できるため、ユーザーはさらに簡単に項目を更新できます。 

. 追加ステップを必要としない情報の保存 _ 

Client Security Password Manager は、重要情報が特定の Web サイトまたはアプリケーションに送信され 
ると、それを自動的に検出できます。重要情報を検出すると 、 Client Security Password Manager はユー 
ザーにプロンプトを出して情報を保存するように促し、重要情報の保存プロセスを単純化します。 

.セキュア•スクラッチ•パッドへの情報の保存 

Client Security Password Manager を使用して、ユーザーはテキスト*データをセキュア-スクラッチ* 
パッドに保存することができます。ユーザーのセキュア•スクラッチ•パッドは、他の Web サイトや 
アプリケーションの項目と同じレベルのセキュリティーで保護できます。 

. ログイン情報のエクスポートとインポート： 

重要な個人情報をエクスポートして、その情報を PC 間で巧全に移動させることができます 。 Client 
Security Password Manager からログイン情報をエクスポートすると、パスワードで保護されたエクス 
ポート. ファイルが作成されます。 この ファイルは、リムーバブル•メディアに保存することができ 
ます。このファイルを使用して、あらゆる場所でユーザーの個人情報にアクセスしたり 、 Client Security 
Password Manager を使用して項目を別の PC にインポートします。 

注： Client Security Solution バージョン 7.0 および 8. x のエクスポート•ファイルのインポートは完全 
にサポートされています 。 Client Security Solution / t ージョン 6.0 の場合は、インポートが限定的に 
サポートされています（アプリケーション項目はインポートされません )。 Client Security Software 
Solution バージョン 5 Ax およびこれな前のバージョンは 、 Client Security Solution バージョン 8 .xPassword 
Manager にインポートされません。 

Security Advisor 

Security Advisor を使用すると、現在 PC に設定されているセキュリティー設定の要約を表示できます。こ 
れらの設定値を使用して、現在のセキュリティー状況を表をしたり、システム•セキュリティーを強化す 
ることができます。表示されるカテゴリーのデフォルト値は、 Windows レジストリーによって変更でき 
ます。な下に、セキュリティー•カテゴリーの一例を示します。 

. ハードウェア.パスワード 

• Windows ユーザー.パスワード 

• Windows パスワード*ポリシー 
• 保護スクリーン•セーバー 

• ファイル共有 

証明書お送ウィザード 

Client Security の証明書転送ウィザードは、ソフトウェア-ベースの Microsoft ® 暗号サービス.プロバイ 
ダー （ CSP ) からハードウェア•ベースの Client Security Solution CSP じ、証明書じ関連した秘密鍵を転送す 
るすべてのプロセスをガイドします。転送が巧われた後は、秘密鍵が Client Security Solution によって保護 
されるため、証明書を使用する操作はよりセキュアじなります。 
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ハードウェア-パスワードのリ七ット 

このツールは、 Windows から独立して稼動するセキュアな環境を作成し、忘れてしまったパワーオン* 
パスワードやハードディスク•パスワードをリセットする際に役立ちます。 ID は、自分で作成した一 
連の質問に回答することによって設定されます。パスワードを忘れる前に、このセキュアな環境をで 
きるだけ早く作成してください。登録後、ハードディスク上にこのセキュアな環境を作成するまで 
は、忘れてしまったハードウェア•パスワードをリセットすることはできません。このツールは、一 
部の PC を運択した場合のみ、使用可能です。 

TPM のないシステムのサポート 

Client Security Solution バージョン 8.2 は現在、対応するエンべデッド.セキュリティ ー.チ、ソ プのない 
Lenovo システムをサポートしています。このサポートにより、一貫したセキュアな環境を作成するため 
に、全社的な標準インストールを巧うことが可能になります。組み达みセキュリティー•ハードウェ 
アを持つシステムは、アタックに対して、より堅固ですが、追加のセキュリティーと機能性もソフ 
トウエア専用 PC にとって有益です。 


Fingerprint ;>oftware 

Lenovo が提案する指紋センサーの目的は、パスワードの管埋に関連したコストの削減やシステムに対する 
セキュリティーの強化においてお客様を補助し、お客様が規制に対応できるようにすることです 。 Lenovo 
社の指紋センサーとともに、指紋認証ソフトウェアを使用すると、個々の PC およびネットワークで 
の指紋認証が可能になります 。 Client Security So 山 tion バージョン 8.2 と結合された指紋認証ソフトウェ 
アは、拡張機能を提供します 。 Client Security So 山 tion 8.21 の場合は、マシン•タイプが異なっても、 

孔 inkVantage 指紋認証ソフトウェア 5.8.2 と Lenovo Fingerprint Software 2.0 の両方がサポートされます。 

Web サイト http :// www . lenovo . com / support / site . wss / MIGR - 59650 . html には Lenovo 指紋センサーについての 
詳細があり、ソフトウェアをダウンロー ドすることができます。 

指紋認証ソフトウェアは、な下の機能を提供します。 

• Client Security Software の機能 

- Microsoft Windows パスワードの置換： 

パスワードをお客様の指紋に置き換えて、容易で高速、かつ安全なシステム•アクセスを提供 
します。 

- BIOS パスワード（パワーオン.パスワードとも呼ぼれます）およびハードディスク-パスワードの置 
换： 

パスワードをお客様の指紋と置き換えて、ログオン-セキュリティーと利便性を高めます。 


- SafeGuardEasy でドライブ全体を暗号化するための起動前指紋認証： 

指紋認証を使用して、 Windows の起動前にハードディスクを暗号化解除します。 

- BIOS および Windows へのシングル-スワイプ*アクセス： 

起動時に指紋をセンサーに読み达ませるだけで、 BIOS と Windows にアクセスすることができるの 
で、貴重な時間を節約することができます。 

- Client Security Solution との統合： 

Client Security Solution Password Manager と併用して、 TPM を活用します。ユーザーは、指紋センサー 
に読み达ませて Web サイトにアクセスし、アプリケーシヨンを運択します。 

. 管理者機能 

-セキュリティー•モードの切り替え： 

管理者は、保護モードと簡易モードを切り替えて、制限ユーザーのアクセス権限を変更するこ 
とができます。 

• セキュリティー機能 


4 Client Security Solution 8.21 デプロイメント-ガイド 




ソフトウエア*セキュリテイー： 

システムに保存する際や、読み取り装置からソフトウェアに転送する際に、強い暗号化によ 
り、ユーザー•テンプレートを保護します。 

八ードウェア*セキュリティー： 

セキュリティー読み取り装置には、指紋テンプレート、 BIOS パスワード、および暗号鍵を保存し保 
護するコプロセッサーがあります。 


ま1章.概要 5 



Client Security Solution 8.21 デプ ロイ メン 


-ガイ 


第 2 章インス!ル 

本章では 、 Client Security Solution および指紋認証ソフトウエアをインストールする手順じついて説明しま 
す 。 Client Security Solution または指紋認証ソフトウエアをインストールする前じ、インストールするアプ 
リケーションのアーキテクチャーを理解する必要があります。本章では、各アプリケーションのアーキテ 
クチャー、およびすベてのプログラムをインストールする前に必要な追加情報について説明します。 


Client Security Solution 

Client Security Solution のインストール • パッケージは 、 InstallShield 10.5 Premier によって Basic MSI プロ 
ジェクトとして開発されました。 InstallShield は、 Windows インストーラーを使用してアプリケーションを 
インストールします。これにより、管埋者には、コマンド•ラインからのプロパティ値の設定などの、イ 
ンストールをカスタマイズする《くの機能が提供されます。この章では 、 Client Security So 山 tion セット 
アップ. パッケージの使用および実行方法に っいて 説明します。より正しく理解するために、パッケー 
ジのインストールを開始するために、章全体をお読みください。 

注：これらのパッケージをインス I -ールするときは 、 Client Security So 山 tion の README ファイルを参照し 
てください。义の Lenovo Web サイトを参照してください。 

http :// www . lenovo . com / support / site . wss / document . do ? s け estyle 二 le 打 ovo & l 打 docid 二 H 0 ME - LEN 0 V 0 

README ファイルには、ソフトウェア•バージョン、サポートされるシステム、システム要件、および 

インストール-プロセスに役立っその他の考慮事項に関する最新の情報が含まれています。 

インストール要件 

このセクションでは 、 Client Security Solution パッケージをインストールするためのシステム要件を説明し 
ます。最良の結果を得るためじ、次の Web サイトにアクセスして、ソフトウェアが最新版であることを 
確認してください。 

http :// support . lenovo . com/en US/dow 打 loads / detail . pa 呂 e ? LegacyDocID 二 MIG 民- 61432 


な前じ販売された PC でも、指定された要件を満たしていれば 、 Client Security Solution がサポートされま 
す。な前に販売された PC で 、 Client Security Solution がサポートされるものについて詳しくは、 Web サイ 
卜 http :// support . lenovo . com / en _ US / downloads / detail . page ? LegacyDocID == MIGR - 61432を参照して ください。 

Lenovo PC のま件 

Client Security Solution をインストールするには 、 Lenovo PC が义の要件を満たしているか、それな上で 
あることが必要です。 

• オペレーティング•システム ： Windows Vista®、Windows Vista 口 ervice Pack 1適用済み)、または 
Windows XP (Service Pack 3 適用済み)。 

• メモリー： 256 MB な上推奨 

-共用メモリー設定の場合、共用メモリーの BIOS 設定を8 MB な上に設定する必要があります。 

-非共用メモリー設定の場合、非共用メモリーは120 MB な上です。 

• Internet Explorer 5.5 な上がインストールされていなければなりません。 

• ハードディスク空き容量300 MB 。 

• 解像度 800 x 饥〇および24ビット•カラーをサポートする VGA 対応ビデオ。 

• ユーザーは Client Security Solution をインストールするための管理特権を持っている必要があります。 

• ハードウェア•パスワードをリセットする場合の追加要件： NTFS および Windows XP 。 

注 ： Windows Server 2003への Client Security Sol 山 ion インストール.パッケージのデプロイはサポートさ 
れていません。 


◎ Copyright Lenovo 2008, 2012 
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カスタム . パブリック.プロパティ 

Client Security Software プログラムのインストール*パッケージには、インストールの実行時にコマンド* 
ラインで設定できる、一連のカスタムパブリック•プロパティが含まれています。 、化の勒こ、 WindowsXP 
および Windows 2000のカスタム-パブリック-プロパティを示します。 

表 1. パブリンク-プロパティ 


プロパティ 

説明 

EMULATIONMODE 

TPM がを在する場合でも、強制的にエミュレーション • 
モードでインストールを実行するように指定します。エ 
ミュレーション•モードでインストールするには、コ 
マンド-ラインで EMULATIONMODE = l と設定します。 

HALTIFTPMDISABLED 

TPM が使用不可状態で、インストールがサイレント- 
モー ドで実行されている場合、 デフオルトではイン 
ストールをエミュレーション•モードで進めます。イ 
ンストールをサイレント*モードで実行するときは、 
HALTIFTPMDISABLED =1 プロパティを使用して 、 TPM 
が使用不可の場合にインストールを停止します。 

NOCSSWIZARD 

Client Security Solution のインストール後じ Client Security 
Sol 山 ion 登録ダイアログが自動的に表示されないようじ 
するじは、コマンド*ラインで NOCSSWIZA 民 D =1 を設 
定します。このプロパテイは 、 Client Security Solution は 
インストールしても、システムの構成は後でスクリプ 
卜を使用して行う管理者のためじ構成されています。 

CSS _ CONFIG_SC 民 IPT 

ユーザーがインストールを完了し、再起動した後に構 
成フアイルを実行するには、 CSS _ CONFIG _ SCRIPT = 
『 filename 』 または 『 filenamepassword 』 を設たします。 

SUPERVISORPW 

コマンド-ラインで SUPERVISORPW =『 password 』 と 
設定すると、スーパーバイザー-パスワードが提供さ 
れ、サイレント•インストール-モードでも非サイレン 
卜•インストール-モードでも、チップが使用可能に 
なります。チップが使用不可で、インストールをサイレ 
ント•モードで実行する場合、チップを使用可能にする 
には正しいスーパーバイザー-パスワードを入力するお 
要があります。パスワードが正しくないと、チップは 
使用可能になりません。 

PWMGRMODE 

Password Manager のみをインストールするには、コマン 
ド*ラインで PWMGRMODE 二1と設定します。 

NOSTA 民 TMENU 

『スタート』メニューにショートカットが生成 
されないようにするには、コマンド•ラインで 
NOSTARTMENU = l と設定します。 


TPM (Trusted Platform Module ) のサポート 

Client Security Solution バージヨン 8.2 では、 PC のエンべデッド•セキュリティー•ハードウェアである 
TPM ヴ rusted Platform Module ) がサポートされています。 Windows 2000および XP では、ご使用のシステム 
の TPM 用ドライバーのダウンロードが必要になる場合があります。 Windows Vista が稼働している PC に 
このオペレーティング*システムがサポートする TPM が組み达まれている場合、 Client Security Solution は 
オペレーティング-システムが提供するドライバーを使用します。 

TPM はシステムの BIOS によって有効になるため、 TPM を使用できるようにするために再起動が必要 
になる場合があります。 Windows Vista が稼働している場合、システムの起動時に TPM を有効にす 
るかどうかの確認がまめられます。 
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TPM によっていずれかの機能が実施される前に、最初に所有権を初期化する必要があります。各システム 
は、 Client Security Solution オプションを制御する1人の Client Security Solution 管理者を持ちます。この 
管理者は、 Windows 管理者権限を持っている必要があります。管埋者は XML デプロイメント•スク 
リプトを使用して初期化することができます。 

システムの所有権が構成された後は、このシステムにログインする追加の各 Windows ユーザーに、ユー 
ザーのセキュリティー • キーおよびクレデンシャルを登録し初期化するためのプロンプトが Client Security 
セットアップ-ウィザードによって自動的に出されます。 

TPM のソフトウェア•エミユ レーシヨ ン 

Client Security Solution には、限定されたシステム上で TPM を使用せずに実行するオプションが用意さ 
れています。この機能は、ハードウェア保護キーを使用する代わりにソフトウェア•ベースのキーを 
使用するな外は同じです。ソフトウェアは、 TPM に効力を与える代わりに、常にソフトウェア•ベー 
スのキーを使用するように強制するスイッチでインストールすることが可能です。このスイッチを使 
用するかどうかはインストール時の決定で、ソフトウェアのアンインストールおよび再インストー 
ルをせずに戻すことはできません。 

TPM のソフトウェア-エミュレーションを強制する構文はな下の通りです。 

InstaLlFile.exe "/v EMULATI0NM0DE=1" 

インストール手順およぴコマンド ■ ライン " パラメーター 

Microsoft Windows インストーラーは、コマンド•ライン-パラメーターによって、複数の管理機能を提供 
します。 Windows インストーラーは、ワークグループによる使用またはカスタマイズのために、アプリ 
ケーションまたは製品のネットワークへの管理用インストールを実行できます。コマンド•ライン•才 
プションには、パラメーターを指定することが必要です。この場合、オプションとパラメーターの間 
にスペースは入れません。义に例を示します。 
setup.exe Is /v"/qn REB00T="R"" 

は有効ですが、 

setup.exe Is h "/qn REB00T="R"" 

は無効です。 

注：インストールを単独で実行すると（パラメーターを指定せずに setup.exe を実巧すると）、デフォルトで 
は、インストール終了時にユーザーに再起動を促すプロンプトが出されます。プログラムを正しく機能さ 
せるには、再起動する必要があります。上記のセクションおよび例のセクションでをすように、サイレン 
卜-インストールではコマンド-ライン-パラメーターを使用して再起動を遅らせることができます。 

Client Security So 山 tion インストール-パッケージの場合、管理用インストールによりインストール-ソー 
ス-ファイルが指定された場所に解凍されます。 

管理用インストールを実行するには、セットアップ-パッケージをコマンド-ラインから / a パラメー 
ターを使用して実行します。 
setup.exe /a 

管理用インストールは、管理ユーザーにセットアップ-ファイルの解凍先を指定するようプロンプトを出 
すウィザードを表示します。デフォルトの解凍先は C :¥ です。じ¥な外のドライブ（その他のローカル•ド 
ライブ、または割り当てられたネットワーク-ドライブなど）の新しい場所を選択することもできます。 
新しいフォルダーも、この手順で作成できます。 

管理用インストールをサイレント•インストールで実行する場合、解凍先の場所を指定するために、コマ 
ンド-ラインで次のようにパブリック-プロパティ TARGETDIR を設定することができます。 
setup.exe Is /v"/qn TARGETDIR=F ； TVTRR" 

または 

msiexec.exe /i "Client Security - Password Manager.msi" /qn TARGERDIR=F：¥TVTRR 
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注： setup.exe は、 Windows インストーラーのバージョンが最新ではない場合に Windows インストーラー • 
エンジンをバージョン 3.0 に更新するように構成されています。この更新が行われると、管理用の解凍イ 
ンストールの場合でも、インストール•アクションによって再起動のプロンプトが出されます。この状態 
での再起動を防止するために、再起動を適切に行ってください。 Windows インストーラーがバージョン 
3.0 な上である場合、 setup.exe は Windows インストーラ ー • エンジンの更新を試行しません。 

管理用インストールが完了した後、管理者はソース-ファイルをカスタマイズ（たとえば、レジストリーに 
設定値を追加）することができます。カスタマイズした後に解凍したソースからインストールするには、 
ユーザーはコマンド-ラインで msiexec.exe を実行し、解凍された MSI ファイルの名前を引き渡します。 

な下のパラメーターと説明は、 InstallShield Develop ぴのヘルプ文書に記載されています。ま本 MSI プロ 
ジェクトに適用されないパラメーターは、除かれています。 


ま 2 . パラメーター 


パラメーター 

説明 

/a :管理用インストール 

/a スイッチを指定すると、 setup.exe で管理用インストー 
ルが実行されます。 管理用インストールは、データ¬ 
ファイルをユーザーが指定したディ レクトリーにコピー 
(および解凍）しますが、ショートカットの作成、 COM 
サーバーの登録、アンインストール-ログの作成は行 
いません。 

/ X ：アンインストール-モード 

/x スイッチを指定すると、 setup.exe は K 前じインストー 
ルした製品をアンインストールします。 

/S :サイレント-モード 

コマンド setup.exe /s を実行すると、ま本 MSI インストー 
ル- プログラム用の setup.exe 初期設定ウィンドウは表示 
されず、応答ファイルは読み取られません。ま本 MSI プ 
ロジェクトでは、サイレント•インストールの場合、応 
答ファイルは作成も使用もされません。ま本 MSI 製品を 
サイレントで実行するには、コマンド•ライン setup.exe 
/ s / v/qn を実行します。（ま本 MSI のサイレント•インス 
トールのパブリック-プロパティ値を指定する場合は、 
setup.exe /s / v'Vqn INSTALLDIR = D :¥ Destination " などのコ 
マンドを使用できます。） 

/v : Msiexec への引数の受け渡し 

N 引数を使用して、 msiexe.exe じコマンド*ライン*ス 
イッチとパブリック*プロパティの値を渡します。 

/ L : 言語のセットアップ 

ユーザーは、 /L スイッチと 10 進言語のを使用して、 

複数言語インストール-プログラムで使用する言語を 
指定します。たとえば、ドイツ語を指定するコマンド 
は setup . exe / L 1031です。 

/w :待機 

基本 MSI プロジェクトで引数 /w を指定すると、 setup.exe 
は、インストールが完了するのを待ってから終了しま 
す。バッチ•ファイルで /W オプションを使用すると、 
setup.exe のコマンド*ライン引数全体を start /WAIT で開 
始することができます。正しくフォーマットされたコマ 
ンドの使用例は、ホのとおりです。 
start /WAIT setup.exe /w 


msiexec.exe の使用 

カスタマイズした後に解凍したソースからインストールするには、コマンド•ラインで msiexec.exe を実巧 
し、解凍された*. MSI ファイルの名前を渡します。 msiexec.exe は、インストール•パッケージを解釈し、 
製品をターゲット PC にインストールするために使用するインストーラーの実行可能プログラムです。 
msiexec /i "C ： ¥WindoiAisFoLder¥ProfiLes¥UserName¥ 

Persona け MySetups¥pro]ect nameYproduct configurationYreLease name¥ 

DisklmagesYDisklYproduct name.msi" 
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注：上記のコマンドを、円記号の後にスペースを入れずに1行として入力します。 

次の表では、 msiexec . exe で有効なコマンド•ライン-パラメーターと、その使用方法を説明します。 


ま义コマンド.ライン. パラメーター 


パラメーター 

説巧 

/I package また t 玉 product code 

このフォーマットは製品のインストールに使用します。 

OtheLLo：msiexec /i " C ：¥ WindoiAisFoLder ¥ Pro 1 iLes ¥ 

UserNameYPersonaLYMy Setups 

YOthelLoYTrial Version ¥ 

ReLease ¥ DiskImages ¥ Diskl ¥ 

Othello Beta . msi " 


製品コードとは、製品のプロジェクト.ビューの製品コード.プロパティで 
自動的に生成されるグローバルー意識別子 （ GUID ) のことです。 

/a package 

/a オプションにより、管理者権限を持つユーザーは製品をネットワーク上 
にインストールできます。 

/x package ホたは product code 

/ X オプションは、製品をアンインストールします。 

/L [ i | w | e | a|r | u | c | m | p | v |+] log file 

/ L オプションを使用して作成すると、ログ-ファイルへのパスが指定され 
ます。な下のフラグは、ログ•ファイルに記録する情報を示しています。 

• i は、状況メッセージをログに記録します 

• W は、致命的でない警告メッセージをログに記録します 

• e は、すべてのエラー•メッセージをログに記録します 

• a は、アクション•シーケンスの開始をログに記録します 

• r は、アクション固有のレコードをログに記録します 

• U は、ユーザー要求をログに記録します 

• C は、初期ユーザー•インターフェース•パラメーターをログに記録 
します 

. m は、メモリー不足メッセージをログに記録します 

• P は、端末設定をログに記録します 

. V は、冗長出力設定をログに記録します 

• +は、既存ファイルに付加します 

.* は、すべての情報を（冗長出力設定を除いて）ログに記録できるワイ 
ルドカード文字です 

/q 时 b | r | り 

/ q オプションをな下のフラグと併用して、ユーザー.インターフェー 
ス-レベルを設定します。 

• q または qn は、ユーザー•インターフェースを作成しません。 

• qb は、ま本ユーザー•インターフェースを作成します。 


下記のユーザー•インターフェース設定により、インストール終了時にモー 
ダル•ダイアログ-ボックスが表示されます。 

• qr は、縮小ユーザー•インターフェースを表示します。 

• がは、完全なユーザー•インターフェースを表示します。 

. qn + は、ユーザー.インターフェースを表示しません。 

. qb + は、ま本ユーザー•インターフェースを表示します。 

/? または /h 

いずれかのコマンドにより、 Windows インストーラーの著作権情報が表示 
されます。 
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表 3. コマンド . ライン . パラメーター ( 続き ) 


パラメーター 

説明 

TRANSFORMS 

TRANSFORMS コマンド • ライン * パラ ;^ 一夕一を使用して、基本パッケー 
ジじ適用する変換を指定します。 

msiexec /i "C ： ¥WindowsFoLder¥ 

ProfiLes¥UserName¥PersonaL 

YMySetupsY 

Your Project NameYTriaL VersionY 

My Release-1 
¥DiskImages¥Diskl¥ 

ProductName.msi" TRANSFORMS="New Transform l.mst" 


複数の変換をセミコロンで分離できます。 Windows インストーラー*サービ 
スが誤って解釈しないように、変換の名前にセミコロンを使用しないで 
ください。 

Properties 

すべてのパブリック - プロパティはコマンド-ラインで設定または変更 
できます。パブリック - プロパティはプライべート•プロパティと区別さ 
れ、すべて大文字です。たとえば、 COMPANYNAME はパブリック•プ 
ロパティです。 


コマンド - ラインからプロパティを設定するには、ホの構文を使用します。 

PROPERTY=VALUE 


COMPANYNAME の値を変更するには、ホのように入力します。 
msiexec り "C ： ¥WindowsFoLder¥ 

ProfiLes¥UserName¥PersonaL¥ 

MySetupsYYour Project Name¥ 

Trial Version¥My Release -1¥ 

D1skImages¥Diskl¥ProductName.msi" 

COMPANYNAME="InstaLLShieLd" 


標準 Windows インストーラーのパブリック-プロパティ 

Windows インストーラーには、一連の標準組みをみパブリック.プロパティがあります。これらのプロパ 
ティをコマンド•ラインで設定して、インストール時の特定の動作を指定することができます。下表に、 
コマンド•ラインで使用される最も一般的なパブリック-プロパティについて説明します。 

追加情報については、义の Microsoft Web サイトを参照してください。 
http :// msdn 2. microsoft . com / en - us / library / aa 36743 / .aspx 

次の表に、一般的に使用される Windows インストーラーのプロパティを示します。 


表 4. Windows インストーラーのプロパティ 


プロパティ 

説巧 

TA 民 GETDI 民 

インストール用の宛先のルート•ディレクトリーを指定 
します。管理者用インストールの場合、このプロパティ 
は、インストール • パッケージのコピー先です。 

ARPAUTHORIZEDCDFPREFIX 

アプリケーシヨンの更新チャネルの URL 。 

A 民 PCOMMENTS 

『コントロールパネル』の『プログラムの追加と削 
除』に『コメント』を提供します。 

A 民 PCONTACT 

『コントロールパネル』の『プログラムの追加と削除』 

じ『連絡先』を提供します。 

A 民 PINSTALLLOCATION 

アプリケーシヨンの 1 ホフオルダーへの完全修飾パス。 
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表ん Windows インストーラーのプロパティ(続き) 


プロパティ 

説明 

A 民 PNOMODIFY 

製品を変更する機能を使用不可にします。 

A 民 PNO 民 EMOVE 

製品を削除する機能を使用不可じします。 

A 民 PNO 民 EPAI 民 

『プログラム』ウィザードの『修復』ボタンを使用 
不可にします。 

ARPPRODUCTICON 

インストール-パッケージのま本アイコンを指定し 
ます。 

A 民 P 民 EADME 

『コントロールパネル』の『プログラムの追加と削除』 

じ README を提供します。 

ARPSIZE 

アプリケーシヨンの推定サイズ （ KB )。 

A 民 PSYSTEMCOMPONENT 

『プログラムの追加と削除』のリストじアプリケーシヨ 
ンを表示しないようにします。 

A 民 PU 民 LINFOABOUT 

アプリケーシヨンのホーム.ページの URL 。 

A 民 PU 民 LUPDATEINFO 

アプリケーシヨン更新情報の URL 。 

REBOOT 

REBOOT プロパティにより、システムの再起動を促す特 
定のプロンプトが抑止されます。管理者は通常、一連の 
インストールを行う際にこのプロパティを使用して、 
複数の製品を同時にインストールし、最後に一度だけ再 
起動します。インストール終了時の再起動を使用不可に 
するには、 REBOCyr =『 R 』 と設定します。 


ログ-ファイルのインストール 

Client Security Solution のインストール.ログ.ファイル cssinstall 82 x 32 .log (Windows XP および Windows 
Vista 32の場合）または css 64 install 82 V.log (Windows Vista 64の場合）は、 setup . exe でセットアップが起動す 
ると（メインの install . exe をダブルクリックするか、パラメーターなしでメインの実行可能ファイルを実巧 
するか、 msi を解凍して setup . exe を実巧します)、 ％ temp % ディレクトリーに作成されます。このファイ 
ルには、インストール問題のデバッグに使用できるログ.メッセージが含まれています。このログ- 
ファイルは、 MSI パッケージからセットアップを直接実行している場合には作成されません。この口 
グ•ファイルには、『プログラムの追加と削除』から実巧されるアクションが含まれています。すべて 
の MSI アクションのログ.ファイルを作成するには、レジストリー内のログ•ポリシーを使用可能 
にすることができます。これを巧うには、义の値を作成します。 
[HKEY_LOCAL_MACHINE¥SOFTWARE¥PoLicies¥Microsoft¥Windows¥InstaLler] "Logging" = "uoicewarmup" 

インストールの例 

次の表は、 setup . exe を使用したインストールの例です。 


ま 5. setup . exe を使用したイ ンス トールの例 


説明 

例 

サイレント•インストール（再起動なし）。 

setup.exe is /\/"/qn REB00T="R"" 

管理用インストール。 

setup.exe /a 

管理用のサイレント•インストール （Client Security 
Software の解凍先を指定)。 

setup.exe /a /s /v"/qn TARGETDIR="F: 

¥CSS82"" 

サイレント*アンインストール setup.exe /s /x / v / qn 。 

setup.exe /s /x /v/qn 
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ま 5. setup . exe を使用したインストールの例(続き) 


説明 

例 

再起動なしのインストール (Client Security Software の 
temp ディレクトリーにインストール•ログを作成） 

setup.exe /\/"REB00T="R" /l*\i 7otemp7o ¥cssinstaLL80.Log^' 

ワークスペースをインストールしないインストール 
setup.exe / vPDA^O 〇 

setup.exe /vPDA=0 


次の表は、 Client Security - Password Manager.msi を使用したインストールの例です。 
表 6. Client Security - Password Manager . msi を使用 したイ ンストールの例 


説巧 

例 

インストール 

msiexec /i "C:¥CSS82¥CLient Security 

Solution - Password Manager.msi" 

サイレント•インストール 
(再起動なし） 

msiexec /i **C ： ¥CSS82¥CLient Security 

Solution - Password Manager.msi" /qn REB 日 0T="R" 

サイレント*アンインストー 
ル 

msiexec /x "C:¥CSS82¥CLient Security 

Solution - Password Manager.msi" /qn 


既存のバージョンがある場合の Client Security Solution 8.21 のインストール 

Client Security Solution は、 System Update を使用して、 Client Security Solution 8.0 からアップグレードできま 
す。 Client Security Solution 8.21 を Client Security Solution 8.0 より前の既存のバージョンと共にインストール 
するには、まず、 Client Security Solution 8.0 をシステムじインストールします。 

Client Security Solution 8.0 は、前のバージョンからのアップグレードとしてインストールすることはで 
きません。 Client Security Solution バージョン 8.0 は既存のバージョンをアンインストールしてからイン 
ストールする必要があります。既存のデータおよび設定を保存するには、次のステップを実巧してか 
ら、前のバージョンの Client Security Solution を削除してください。 

1 . 次の Lenovo Web サイトから Client Security Solution 8.0 Upgrade Assistant をダウンロー ドする。 
http :// www . lenovo . com / support / site . wss / document . do ? s け estyle 二 le 打 ovo & maocid 二 MIu 民-46391 

2. コマンド • ラインから、 Client Security Solution 8.0 Upgrade Assistant をサイレントで実巧し、その後に 
前のバージョンの Client Security Solution を削除する。 

Client Security Solution 7.0 ユーザーの場合は、追加として、 Rescue and Recovery 4.0 をインストールする前に 
Client Security Solution 8.0 じアップグレードする必要があります。 

注：オペレーティング’システムをアップグレードする場合、 Client Security Solution の登録に失敗しない 
ため、セキュリティー•チップのクリアが必要です。 


ThinkVantage 指が認証ソフトウエアのインストール 

指紋認証ソフトウエア-プログラムの setup.exe ファイルは、な下の方法でインストールできます。 

サイレント’インストール 

指紋認証ソフトウエアをサイレント•インストールするには、 CD-ROM ドライブのインストール- 
ディレクトリーにある setup.exe を実巧します。 

このときの構文は次のようになります。 

Setup.exe PROPERTY=VALUE /q /i 

ここで、 q はサイレント•インストール、 i はインストールを表します。次に例を示します。 

setup.exe INSTALLDIR="C：¥Program FiLes¥ThinkVantage fingerprint software" /q /i 
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このソフトウェアをアンインストールするには、 /i の代わりに /X パラ方一夕一を使用します。 

setup.exe INSTALLDIR="C：¥Program F1Les¥ThinkVantaae fingerprint software" /q /x 


Options 

指紋認証ソフトウェアではな下のオプションがサポートされています。 

ま 7 . 指紋認証ソフトウェアでサポートされるオプション 


パラメーター 

説明 

CTRLONCE 

コントロール•センターを一度だけ表示します。デ 
フォルト値は 0 です。 

CTLCNT 民 

始動時にコントロール•センターを実行します。デ 
フォルト値は 1 です。 

DEFFUS 

• 0 = Fast User Switching (FUS) 設定を使用しません。 

. 1= FUS 設定の使用を試みます。 

デフォルト値は 0 です。 

INSTALLDIR 

指紋認証ソフトウエアのデフォルトのインストール¬ 
ディ レク トリーに入ります。 

OEM 

. 0 =サーバー.パスポートまたはサーバー認証のイン 
ストールをサポート 

. 1= スタンドアロン PC モードのみ（口ーカル•パス 
ポート） 

PASSPORT 

インストール時に設定されるデフォルトのパスポー 
卜-タイプになります 

• 1= デフォルト-口ーカル.パスポート 

. 2 =サーバー.パスポート 

デフォルト値は 1 です。 

SECURITY 

• 1 =セキュア•モードのインストールをサポート 

. 0 =インストールしない。便利モードのみち在 

SHORTCUTFOLDER 

『スタート』メニューのショートカット-フォルダーの 
デフォルトるになります。 

REBOOT 

Really Suppress じ設定すると、インストール中は、プロ 
ンプトを含むすべての再起動を斤わないようじします。 

DEVICEBIO 

ユーザーにより使用されるデバイス.タイプを構成 
します。登録タイプ： 

.DEVIC 邸の =#3 - デパイス•セクターは最初に登録 
する前に使用されます。 

.DEVICEBIO=#0 -ハードデイスクへの登録が使用さ 
れます 

• DEVICEBIO= 別- CompanionChip への登録が使用さ 
れます 


Lenovo Fingerprint Software のインストール 

指紋認証ソフトウエア-プログラムの se 邮 32. exe ファイルは、な下の手順を使用してインストール 
できます。 
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サイレント"インストール 

指紋認証ソフトウェアをサイレント-インストールするには、 CD - ROM ドライブのインストール-ディレ 
クトリーにある setup 32. exe ファイルを実巧します。 

このときの構文は次のようになります。 

setup32.exe /s /v'7qn REBOOT ="R"" 

ソフトウェアをアンインストールするには、次の構文を実行します。 

setup32.exe /x Is /u'7qn REB00T="R"" 

Options 

指紋認証ソフトウェアではな下のオプシヨンがサポートされています。 


表 8. Lenovo Fingerprint Software でサポー トされるオプション 


パラメーター 

説明 

SWAUTOSTA 民 T 

. 0 = Windows 起動時に指紋認証ソフトウェアを開始 
しません。 

. 1= Windows 起動時に指紋認証ソフトウェアを開始 
します。 

デフオルト値は！です。 

SWFPLOGON 

• 0 =指紋ログオン （ GINA またはクレデンシャル-プロ 
バイダー）を使用しません。 

• 1=指紋ログオン （ GINA またはクレデンシャル-プロ 
バイダー）を使用します。 

デフオルト値は0です。 

SWPOPP 

. 0 =パワーオン.パスワードの保護を無効にします。 

. 1=パワーオン-パスワードの保護を有効にします。 

デフオルト値は0です。 

SWSSO 

. 0=シングル•サインオン機能を無効にします。 

. 1=シングル•サインオン機能を有効にします。 

デフオルト値は0です。 

SWALLOWENROLL 

• 0=管理者な外のユーザーによる指紋登録を許可し 
ません。 

• 1=管理者な外のユーザーによる指紋登録を許可し 
ます。 

デフオルト値は！です。 

SWALLOWDELETE 

. 0=管理者な外のユーザーによる指紋削除を許可し 
ません。 

. 1=管理者な外のユーザーによる指紋削除を許可し 
ます。 

デフオルト値は！です。 

SWALLOWIMEXPORT 

• 0 =管理者な外のユーザーによる指紋のインポート/エ 
クスポートを許可しません。 

• 1=管理者な外のユーザーによる指紋のインポート/エ 
クスポートを許可します。 

デフオルト値は！です。 
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表 8. Lenovo Fingerprint Software でサポートされるオプシ 

ョン ( 続き ) 

パラメーター 

説明 

SWALLOWSELECT 

• 0=管理者な外のユーザーが指紋を使用してパワーオ 
ン-パスワードを置換する操作を許可しません。 

. 1=管理者な外のユーザーが指紋を使用してパワーオ 
ン-パスワードを置換する操作を許可します。 

デフォルト値は1です。 

SWALLOWPW 民 ECOVERY 

. 0 = Windows パスワードの復元を許可しません。 

. 1 = Windows パスワードの復元を許可します。 

デフォルト値は1です。 

SWANTIHAMME 民 

. 0 =連続再試巧に対する保護を無効にします。 

• 1=連続再試行に対する保護を有効にします。 

デフォルト値は1です。 

SWANTIHAMME 民民 ET 民 IES 

最大再試行回数を指定します。デフォルト値は5です。 
注： この設定は、 SWANTIHAmER が有効になっていると 
きにのみ、機能します。 

SWANTIHAMMERTIMEOUT 

タイムアウト期間（秒単位）を指定します。デフォルト 
値は口0です。 

注： この設定は、 SWANTIHAmER が有効になっていると 
きにのみ、機能します。 

SWAUTHTIMEOUT 

• 0 =認証タイムアウトを無効にします。 

• 1=認証タイムアウトを有効にします。 

デフォルト値は1です。 

SWAUTHTIMEOUTVALUE 

認証がタイムアウトになるまでの非アクティブ期間（秒 
単位）を指定します。デフォルト値は120です。 

注： この設定は、 SWAUTHTIMEOUT が有効になっていると 
きにのみ、機能します。 

SWNONADMIFPLOGONONLY 

• 0=管理者な外のユーザーによる指紋認証のみの口 
グオンを無効にします。 

• 1=管理者な外のユーザーによる指紋認証のみの口 
グオンを有効にします。 

デフォルト値は1です。 

SWSHOWPOWERON 

• 0=パワーオン•セキュリティー•オプションを表示 
しません。 

. 1=パワーオン•セキュリティー•オプションを常 
じ表不します。 

デフォルト値は0です。 

CSS 

• o = css が未インストールであると想定します。 

•1 =CSS がインストール済みであると想定します。 

デフォルト値は0です。 


Systems Management Server (SMS) 

System Management Server ( SMS ) のインストールもサポートされています。 SMS 管埋者コンソールを開きま 
す。新規パッケージを作成して標準的なパッケージ•プロパティを設定します。そのパッケージを開き、 
『プログラム』項目で『新規プログラム』を選択します。コマンド•ラインに次のように入力します。 


第 2 章.インストール 17 




























Setup.exe / m yourmiffiLename /q /i 

サイレント•インストールの場合と同じパラメーターが使用できます。 


Set 啤では、通常はインストール•プロセス終了時に再起動します。インストール中は再起動せず、 
後で（さらにいくつかのプログラムをインストールしてから）再起動する場合は、プロパティ•リスト 
に REBOOT =『 ReallySuppress 』 を追加します。 
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第 3 章 Client Security Solution での作業 

Client Security Solution をインストールする前じ 、 Client Security Solution で選択可能なカスタマイズじつい 
て理解する必要があります。この章じは 、 Client Security Solution のカスタマイズじ関する情報および TPM 
(Trusted Platform Module ) に関する情報が記載されています。この章では、 TPM について Trusted Computing 
Group ( TCG ) によって定義された用語を使用します。 TPM じついて詳しくは、次の Web サイトを参照して 
ください。 

http :// www . trustedcomputmggroup . org / 


TPM の使用 

TPM は、 TPM を利用するソフトウェアにセキュリティー関連の機能を提供するために設計されたエンべ 
デッド . セキュリティー.チップです。エンべ デッド •セキュリティー•チップは、システムのマザー 
ボードに搭載され、ハードウェア•バスを介して通信します。 TPM を導入しているシステムは、暗号鍵を 
作成して暗号化することができ、同じ TPM のみが暗号化を解除することができます。このプロセスは、 
しばしば鍵のラッピングと呼ばれ、鍵の開示を防止するのに役立ちます。 TPM を備えたシステムでは、マ 
スター.ラッピング鍵は、ストレージ.ルート鍵 （ SRK ) と呼ばれ、 TPM 自体の内部に保存されるので、鍵 
の秘密 （ private ) 部分は決して公開されません。エンべデッド*セキュリティー*チップは、他のストレー 
ジ•キー、署名鍵、パスワード、およびデータの他の小ユニットも保存できます。 TPM には記憶容量の 
制限があるので、 SRK はチップ外に記憶するその他の鍵の暗号化に使用されます。 SRK はエンべデッ 
ド-セキュリティー-チップに残されることは決してないので、保護ストレージの基本になっています。 

エンべデッド.セキュリティー.チップの使用はオプションであり 、 Client Security Solution 管理者を 
必要とします。個人ユーザーでも企業の打部門でも、 TPM は初期設定する必要があります。ハード 
ディスク故障からのリカバリーやシステム*ボードの交換など、その後の操作を巧うのは Client Security 
Solution 管理者に限定されます。 

注：認証モードを変更するときにセキュリティー-チップをアンロックしようとする場合、ログアウ 
卜してから、マスター管埋者としてログインし直す必要があります。これで、セキュリティー•チッ 
プをアンロックすることができます。2义ユーザーとしてログオンして、認証モードの変換を続ける 
こともできます。この操作は2义ユーザーがログオンすると自動的に巧われます。この場合 、 Client 
Security Solution によって2义ユーザーのパスワードまたはパスフレーズのプロンプトが出されます。 
Client Security Sol 山 ion が変更の処理を完了すると、2义ユーザーはセキュリティー*チップのアン 
ロック操作に進むことができます。 

Windows Vista での TPM の使用 

Windows Vista ログオンが有効で、 TPM が無効の場合 、 Windows ログオン機能を無効にしてから、 F 1 BIOS 
で TPM を無効にする必要があります。この操作を巧うと、『セキュリティー-チップが非アクティブじ 
なりました。ログオン*プロセスを保護できません 。 (Security chip has been deactivated , the logon process 
cannot be protected )』 というセキュリティー* メッセージが表をされなくなります。 

さらに、クライアント•システムのオペレーティング•システムをアップグレードする場合 、 Client 
Security の登録に失敗しないためにセキュリティー.チップのクリアが必要です。 F 1 BIOS でセキュリ 
ティー•チップをクリアするには、システムをコールド起動する必要があります。ウォームリブートの後 
にこのプロセスを実行しようとすると、セキュリティー-チップをクリアできなくなります。 


Client Security Solution の暗号鍵の管理 

Client Security Solution については、2つの主なデプロイメント*アクティビティーである『所有権の取 
得』と『ユーザー登録』で説明します 。 Client Securitv So 山 tion セットアップ•ウィザードを初めて実巧す 
る際に、所有権の取得プロセスとユーザー登録プロセスが、どちらも初期設定時に実行されます 。 Client 
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Security Solution セットアップ•ウィザードを完了した特定の Windows ユーザーのは、 Client Security 
So 山 tion 管埋者で、アクティブ•ユーザーとして登録されます。システムにログインするその他のユー 
ザーは、すべて Client Security Solution に登録するように自動的に要求されます。 

. 所有権の取得 

単一の Windows 管理者のユーザー ID は、唯一の Client Security Solution 管理者としてシステムに割り当 
てられます。 Client Security Solution の管理機能は、このユーザーのにより実巧される必要があります。 
TPM の許可は、このユーザーの Windows パスワードか、 Client Security パスフレーズのいずれかです。 

注： 忘れてしまった Client Security Solution 管理者パスワードまたはパスフレーズからリカバリーする唯 
一の方法は、有効な Windows のアクセス権を使用してこのソフトウェアをアンインストールするか、 
BIOS 内のセキュリティー-チップをクリアするかのいずれかです。いずれの方法でも、 TPM に関連し 
た鍵を介して保護されたデータは、消失します。 Client Security Solution は、忘れてしまったパスワー 
ドまたはパスフレーズを自分で復元できるようにするオプション機構も提供します。このため、パス 
ワードまたはパスフレーズは、ユーザー確認のための質問への応答を基にしています。 Client Security 
So 山 tion 管理者は、この機能を使用するかしないかを決定します。 

. ユーザー登録 

所有権の取得プロセスが完了し、 Client Security So 山 tion 管理者が作成されると、ユーザー-ベース鍵を 
作成して、現在ログオンしている Windows ユーザーのクレデンシャルを巧全に保存することができま 
す。この設計により、複数のユーザーが Client Security So 山 tion に登録し、単一の TPM を利用すること 
ができます。ユーザー鍵は、セキュリティー•チップを介して保護されますが、実隙にはチップ外の 
ハードディスクに保存されます。この設計では、セキュリティー•チップに構築された実際のメモリー 
の代わりに、制限のあるストレージ要素としてハードディスク•スペースを作成します。同じセキュ 
ア.ハー ドウェアを利用できるユーザーの数が飛躍的に増大します。 

所有権の取得 

Client Security Solution のトラステッド*ルートは、システム*ルート*キー (SRK) です。この移動で 
きない非対称鍵は、 TPM のセキュア環境内に生成され、システムに公開されることは決してありま 
せん。この鍵を利用する許可は、 Windows 管理者アカウントにより TPM_TakeO 丽 ership コマンドの実 
斤中に得られます。 Client Security パスフレーズを利用している場合、 Client Security Solution 管理者 
の Client Security パスフレーズは、 TPM 許可になり、それな外の場合は Client Security Solution 管理者 
の Windows パスワードになります。 

システム用に作成された SRK では、その他の鍵ペアは、作成して TPM の外部に保存できますが、ハード 
ウェア.ベースの鍵によってラップまたは保護されます。 TPM は SRK を内蔵するハードウェアであり、 
ハードウェアは損傷することがあるので、システムへの損傷によりデータ.リカバリーが妨げられない 
ようにするためにリカバリー機構が必要です。 

システムをリカバリーするために、システム•ベース鍵 （System Base Key) が作成されます。この非対称ス 
トレージ*キーにより、 Client Security Solution 管理者は、システム*ボード交換や別システムへの計画的 
移行からリカバリーすることができます。システム•ベース鍵を保護しながら、通常の操作またはリカパ 
リー時にアクセスできるようにするために、このキーの2つのインスタンスが作成され、異なる2つの方 
法によって保護されます。最初に、システム•ベース鍵は、 AES 対称鍵を使用して暗号化されます。この 
鍵は、 Client Security Solution 管理者のパスワードまたは Client Security パスフレーズを知っていれば得るこ 
とができます。 Client Security Solution リカバリー-キーのこのコピーは、クリアされた TPM またはハード 
ウェア障害により交換されたシステム.ボードからのリカバリー専用です。 

Client Security Solution リカバリー-キーの2番目のインスタンスは、 SRK によってラップされてキー階層 
にインポートされます。システム•ベース鍵のこの2つのインスタンスにより、 TPM は自身にバインドさ 
れた秘密を通常の使用状態で保護することができ、さらに AES 鍵を使用して暗号化されているシステ 
ム•ベース鍵を介して、障害のあるシステム•ボードをリカバリーすることができます。 AES 鍵は、 
Client Security Solution 管理者パスワードまたは Client Security パスフレーズによってアンロックされます。 
次に、システム•リーフ鍵 （SystemLeafKey) が作成されます。このキーは、 AES 鍵など、システム•レべ 
ルの機密事項を保護するために作成されます。 
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次の図に、システム • レベルのキー構造を示します。 


System Level Key Structure - fake Ownership 



園 h システム • レベルのキー構造- pfi ち権取得 

ユーザー登録 

各 ユーザーのデータを 同じ TPM によって保護するため、各 ユーザーは 独自の ユーザー.ベース 鍵を作成 
します。この移動可能な非対称スト レー ジ*キ ーは、 2回作成され、各 ユーザー の Windows パスワード ま 
たは Client Security パスフレーズから 生成された対称 AES 鍵じよって保護されます。 

次に、ユーザー•ベース鍵の2番目のインスタンスは、 TPM じインポートされ、システム SRK じよって 
保護されます。作成されたユーザー-ベース鍵では、ユーザー-リーフ鍵 （User Leaf Key ) と呼ばれる第2 
非対称鍵が作成されます。ユーザー-リーフ鍵は、インターネット-ログオン情報の保護に使用される 
Password Manager AES 鍵、データの保護に使用されるパスワード、およびオペレーティング*システムへ 
のアクセスを防護する Windows パスワード AES 鍵など、個別の秘密事項を保護します。ユーザー- 
リ ーフ鍵へのアクセスは、ユーザーの Windows パスワードまたは Client Security Solution パスフレーズに 
よって制御され、ログオン時には自動的にロックが解除されます。 
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次の図に、ユーザー-レベルのキー構造を示します。 


User Level Key Structure - Enroll User 


Trusted Ratform Module 



国 2 . ュー ザー. レベルのキー 構造- ユー ザー登録 

バックグラウンド登録 

Client Security Solution 8.21 は、自動的じ開始されるユーザー登録のバックグラウンド登録をサポートしま 
す。登録プロセスは、通知を表示せずにバックグラウンドで実行されます。 

注： バックグラウンド登録は、自動的に開始されるユーザー登録の場合にのみ、使用できます。『スター 
卜』メニューまたは 『セキュリティー設定のリセット』 から手動で開始されるユーザー登録の場合は、 
ユーザーがユーザー登録を待機することを示すダイアログが今までどおり表示されます。 

ローカル管埋者またはドメイン管埋者も、かのようにポリシーを編集することで、待機ダイアログを強 
制的に表示させることができます。 

CSS_GU し AL1/JAYS_SH0IaI_ENR0LLMENT_PR0CESSING 

あるいは、夕のようにレジストリー-キーを編集します。 

HKLM¥software¥poLicies¥lenovo¥client security solution¥GLII options¥ 

AlwaysShowEnroLlment Processing 

ALwaysShowEnroLlment Pro cessing のデフォルト値は 0 です。上記のレジストリー•キーが 0 に設定された場 
合は、自動的に開始されるユーザー登録の待機ダイアログは表示されません。このポリシーが1に設定さ 
れた場合は、登録が開始される方法に関係なく、ユーザー登録中に必ず待機ダイアログが表示されます。 

ソフトウェア-エミュ レーシヨ ン 

TPM を備えていないコンピューターを使用する ユーザーの 経験レベルを一貫して高めるため、 CSS は 
TPM エミュレーシ ヨン. モードをサポートしています。 

TPM エミュレーシヨン•モードは、トラステッド•ソフトウェア•ベース•ルートです。ユーザーは、 
TPM じよって提供されるのと同じ機能（デジタル署名、対称鍵暗号化解除、民 SA 鍵のインポート、保護、 
および乱数生成など）を使用可能ですが、トラステッド-ルートはソフトウェア-ベースの鍵であるの 
で、セキュリティーは低下します。 
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TPM エミュレーシヨン•モードを、 TPM のセキュアな代替として使用することはできません。 TPM は、 
TPM エミュレーシヨン-モードよりセキュアな、かの2つの鍵保護方法を提供します。 

• TPM によって使用されるすべての鍵が、固有のルート•レベル鍵によって保護されます。固有の 
ルート-レベル鍵は、 TPM 内部に作成され、 TPM 外部で表をしたり使用したりすることはできま 
せん。 TPM エミュレーシ ヨン. モードでは、ルート.レベル鍵は、ハードディスク.ドライブ 
に保存されたソフトウェア-ベース鍵です。 

• すべての秘密鍵操作は TPM 内部で実行されるので、鍵の秘密鍵の材料が、 TPM 外部に露出することは 
ありません。 TPM エミュレーシヨン•モードでは、すべての秘密鍵操作がソフトウェア内で実行さ 
れるので、秘密鍵のな料は保護されません。 

TPM エミュレーシヨン-モードは主に、セキュリティーにはあまり関ム、がなく、システムのログオン速度 
に強い関ム、を持つユーザー向けです。 

システム-ボードの交换 

システム-ボードを交換するということは、鍵がバインドされていた旧 SRK がもはや無効になり、別の 
SRK が必要とされていることが推測されます。これは TPM が BIOS によりクリアされても起こります。 

Client Security Solution 管理者は、システムのクレデンシャルを新規 SRK にバインドすることを要求されま 
す。システム.ベース鍵は 、 Client Security Sol 山 ion 管理者クレデンシャルから得たシステム.ベース AES 
保護鍵により暗号化を解除する必要があります。 

Client Security So 山 tion 管理者がドメイン-ユーザー ID であり、そのユーザー ID のパスワードが別の PC 
上で変更されていた場合、リカバリーを必要とするシステムにログオンするときに最後に使用されたパ 
スワードが、リカバリーのためにシステム-ベース鍵の暗号化を解除するために既知である必要がありま 
す。たとえば、デプロイメント中に 、 Client Security Solution 管理者のユーザー ID とパスワードが構成さ 
れており、このユーザーのパスワードが別のマシン上で変更されている場合は、デプロイメント中に設 
定された元のパスワードは、このシステムをリカバリーするための必須権限になります。 

な下のステップに従って、システム-ボードの交換を実施してください。 

1. Client Security Sol 山 ion 管理者は、オペレーティング*システムにログオンする。 

2. ログオン実行コード （ cssplanarswap . exe ) は、セキュリティー•チップが使用不可になっていることを 
認識し、使用可能にするために再起動を要求する（このステップは、 BIOS によりセキュリティー • 
チップを使用可能にすることで回避できます)。 

3. システムが再起動され、セキュリティー•チップが使用可能になる。 

4. Client Security Solution 管理者がログオンし、かに、新規 Take 0丽 ership プロセスが完了する。 

5. システム•ベース鍵は 、 Client Security Sol 山 ion 管理者の認証によって得られるシステム基本 AES 保護 
鍵を使用して暗号化を解除される。システム•ベース鍵は、新規 SRK にインポートされて、システ 
ム-リーフ鍵とそれによって保護されているすべてのクレデンシャルを再設定します。 

6. これで、システムはリカバリーされます。 

注：システム•ボードの交換は、エミュレーシヨン•モードの使用時は必要ありません。 
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次の図に、マザーボード•スワップ（所有権取得）の構造を示します。 


Motherboard Swap - lake Ownership 


Trusted Platform Module 



図 3. システム • ボードの交換-所有権取得 

各ユーザーがシステムじログオンする度に、ユーザー.ベース鍵がユーザー認証から得られるユーザー- 
べース AES 保護鍵じより自動的じ暗号化を解除され 、 Client Security Solution 管理者じより作成された新規 
SRK じインポートされます。次の図に、マザーボード•スワップ（ユーザー登録）の構造を示します。 

セキュリティー-チップのクリア後、またはマザーボードの交換後に2乂ユーザーをログインさせるに 
は、マスター管理者としてログインする必要があります。マスター管理者には鍵を復元するためのプ 
ロンプトが出されます。鍵の復元が完了したら 、 Policy Manager を使用して Client Security の Windows 
ログオンを無効にします。残りのユーザーはそれぞれの鍵を復元できます。すべての2ホユーザーが 
それぞれの鍵を復元したら、マスター管埋者は Client Security Solution の Windows ログオン機能を有 
効じすることができます。 

次の図に、マザーボード-スワップ（ユーザー登録）の構造を示します。 


Motherboard Swap - Enroll User 


Trusted Platform Module 



User Base Private Key 
User Base Public Key 
Decrypted via derived AES Key 


User PW/PP 


" I 

G one-way Hash ^ ’ 端 


User Base AES 
Protection Key 
(derived via output 
of hash algorithm) 


図ん マ ザーボード-スワップ- ユー ザー登録 
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EFS 保護ユーティリティー 

Client Security Solution は、ファイルおよびフォルダーを暗号化するために Encrypting File System ( EFS ) が使 
用する暗号化証明書を、 TPM に基づいて保護できるようにするコマンド•ライン-ユーティリティーを 
提供します。このユーティリティーは、サード•パーティー証明書（認証局が生成する証明書）の転送 
をサポートし、さらに自己署名証明書の生成もサポートします。 

Client Security Solution による EFS 証明書の保護とは、 EFS 証明書に関連する秘密鍵が TPM によって保 
護されることを意味します。この証明書へのアクセスは、ユーザーが Client Security Solution で認証 
された後に認可されます。 

TPM が有効でない場合、 EFS 証明書は Client Security Solution が提供する TPM エミュレーターを使用 
して保護されます。 EFS 証明書が Client Security Solution によって保護されるようにするには、 Client 
Security Solution への登録が必要です。 

巧告. 

Client Security Solution と Encrypting File System ( EFS ) を使用してファイルおよびフォルダーを暗号化し 
た場合、 Client Security So 山 tion または TPM が使用できない場合には暗号化されたファイルにアクセ 
スできません。 

TPM が反応しなくなった場合、 Client Security Solution はマザーボードを交換した後に暗号化された 
データへ再びアクセスできるようになります。 

EFS コマンド•ライン-ユーティリティーの使用 

次の表に、 EFS でサポートされるコマンド•ライン-パラメーターを示します。 


表 9. EFS でサポートされるコマンド • ライン.パラターター 


パラメーター 

説巧 

/genera お: < size > 

自己署る証明書を生成し、その証明書を EFS に関連付 
けます。 < size > を指定すると、生成される鍵は指定さ 
れたビット-サイズのものになります。有効な値は、 

512、1024、および2048です。値を指定しない場合、 
または無効値を指定すると、デフォルトで1024ビッ 
卜の鍵が生成されます。 

/ sn:xxxxxx 

転送して EFS と関連付ける既存の証明書のシリアル 
番号を指定します。 

/ cn:yyyyyy 

転送して EFS と関連付ける既存の証明書の名前 （ 『発行 
先』）を指定します。 

/firstavail 

最初に使用可能な既存の EFS 証明書を転送して EFS と 
関連付けます。 

/silent 

出力を表示しません。プログラム終了時に値じよって 
提供される戻りコード。 

/? または化または化 elp 

ヘルプ情報を表示します。 


サイレント. モー ドで実行されていない場合、この ユーティリティーはな 下のいずれかの エラーを 
戻します。 

日 - "Command completed successfuLLy" 

1 -"This utility requires Windows XP" 

2 - "This utility requires Client Security Solution version 8.011 

3 - "The current user is not enroLLed with Client Security SoLution" 

4 - "The specified certificate could not be found" 

5 - "Unable to generate a self-signed certificate” 

6 - "No EFS certificates were found" 
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7 - "Unable to associate the certificate with EFS" 

サイレント•モードで実斤されている場合、プログラムの出力は、上記にをすエラー番号に対応するエ 
ラー-レベルになります。 


XML スキーマの 使用 

XML スクリプト記述の目的は、打管理者が Client Security Solution のデプロイおよび構成に使用できる力 
スタム*スクリプトを作成できるようにすることです。スクリプトは xml crypt tool 実行可能モジュー 
ルによって保護できます （ AES 暗号化などのパスワードを使用）。いったん作成されると、仮想 PC 
( vmserver . exe ) は、入力としてスクリプトを受け入れます。仮想マシンは 、 Client Security Solution セット 
アップ.ウィザ ー ドと同一のファンクションを呼び出して、ソフトウェアを構成します。 

すべてのスクリプトは、 XML エンコード•タイプ、 XML スキーマ、および実行する1つな上の機能を指 
定する1 つの タグより構成されています。スキーマは、 XML ファイルを検証し、必須パラメーターがそ 
ろっていることを確認するために使用されます。スキーマの使用は、現在、お奨されていません。各ファ 
ンクションは、ファンクション•タグで囲まれています。各ファンクションには0民 DER が含まれてい 
ます。これは、コマンドが仮想 PC ( vmserver . exe ) によって実巧される順番を指定します。各ファンク 
ションには、バージョン番号も含まれます。現在、すべてのファンクションはバージョン 1.0 です。 

な下のスクリプト例には、それぞれ1つのファンクションのみが含まれています。しかし、実際のス 
クリプトには複数のファンクションが含まれる可能性が高くなります 。 Client Security Solution セット 
アップ.ウィザードを使用すれば、このようなスクリプトを作成できます。セットアップ•ウィザー 
ドによるスクリプト作成の追加情報については、36ぺージの 『Client Security Sol 山 ion セットアップ* 
ウィザード』を参照してください。 

注：ドメイン名を必要とするファンクションのいずれかに、パラメーター < DOMAIN _ NAME _ PARAMETER > 
が残されている場合は、システムのデフォルトの PC 名が使用されます。 ~ 

例 

な 下の コマンドは、 XML スキーマの 例です。 

ENABLE_TPM_FUNCTION 

このコマンドは、 TPM を使用可能にし、引数 SYSTEM _ PAP を使用します。システムに既に BIOS 管理者 
またはスーパーバイザー•パスワードが設定されている場合は、この引数を指定する必要があります。そ 
れな外の場合、このコマンドはオプションです。 

<tvt depLoyment xmLns ="http ： //www.Lenovo.com" 

xmLns ： xsi="http ； //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDepLoy.xsd"> 

く registry_settings /> 

< /tv し depLoymen い 
<FUNCT~I0N> 

<ORDER>0001</ORDER> 

<C0MMAND>ENABLE_TPM_FUNCTI0N</C0MMAND> 

<VERSION>1.0</VERSION> 

<SYSTEn_PAP>PASSlAlORD</SYSTEn_PAP> 

く / FUNCTioN 〉 

</CSSFUe> 

注：このコマンドは、エミュレーション.モードではサポートされていません。 

DISABLE_TPM_FUNCnON 

このコマンドは引数 SYSTEM _ PAP を使用します。システムに既に BIOS 管理者またはスーパーバイザー • 
パスワードが設定されている場合は、この引数を指定する必要があります。それな外の場合、このコ 
マンドはオプションです。 

<tvt depLoyment xmLns ="http ： //www.lenovo.com" 

xmLns ： xsi="http ； //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
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http://www.Lenovo.com cssDepLoy.xsd"> 

< registry_settings / > 

< /tv し depLoyment 
<FUNCnON> 

<ORDER>0 日 01 く / ORDER 〉 

<COMMAND>DISABLE_TPM_FUNCTION</COMMAND> 

<VERSION>1.0</VERSION> 

<SYSTEM_PAP>password</SYSTEM_PAP> 

</FUNCTi0N> 

</CSSF1Le> 

注：このコマンドは、エミュレーシヨン•モードではサポートされていません。 

ENABLE_PWMGR_FUNCTION 

このコマンドは、すベての Client Security Solution ユーザーじ対して Password Manager を使用可能にします。 

<?xmL version = "1.0" encoding = "UTF-8" standaLone = "no"?> 

く CSSFiLe xmLns="www.Lenovo.com/security/CSS"> 

〈 FUNCTION 〉 

<ORDER>0001</ORDER> 

<C0MMAND>ENABLE_PlAinGR_FUNCTI0N</C0MMAND> 

<VERSI0N>1 . 日く / VERSION 〉 

〈 /FUNCTION 〉 

</CSSFiLe> 

ENABLE_CSS_GINA_FUNCnON 

Windows 2000、 XP 、 および Vista の場合、次のコマンドで Client Security Solution ログオンが可能じ 
なります。 

- <tv し depLoyment xmLns = "http://www.Lenovo.com" 

xmLns ： xsi="http://www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDeploy.xsd"> 

< registry_settings / > 

< /tv し depLoyment 
<FUNCnON> 

<ORDER>0001</ORDER> 

<COMMAND>ENABLE_CSS_GINA_FUNCTI 日 N</COMMAND 〉 

<VERSION>1.0</VERSION> 

〈 /FUNCTION 〉 

</CSSFiLe> 

ENABLE_UPEK_GINA_FUNCnON 

注： 

1. このコマンドは孔 inkVantage 指紋認証ソフトウェア専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、 ThinkVantage 指紋認証による Windows ログオンが有効になり 、 Client Security Solution 
による Windows ログオンが無効になります。 

<tvt depLoyment xmLns = "http ： //www.Lenovo.com" 

xmLns ： xsi="http://www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDepLoy.xsd"> 

< registry_settings / > 

< /tv し depLoyment > 

<FUNCnON> 

<ORDER>0001</ORDER> 

<C0MMAND>ENABLE_UPEK_GINA_FUNCTI0N</C0MMAND> 

<VERSION>1.0</VERSION> 

〈 /FUNCTION 〉 

</CSSF1Le> 
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ENABLE_UPEK_GINA_WITH_FUS_FUNCnON 

注： 

1. このコマンドは ThinkVantage 指紋認証ソフトウエア専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり 、 Client Security 
Solution による Windows ログオンが無効になります。システム設定に従って、ユーザーの簡易切り替え 
は有効にならないことがあります。 

<tvt depLoyment xmLns ="http ： //www.Lenovo.com" 

xmLns ： xsi="http ； //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDepLoy.xsd"> 

く registry_settings /> 

< /tv し depLoyment 
<FUNCT~I0N> 

<ORDER>0001</ORDER> 

<COMMAND>ENABLE_UPEK_GINA_WIH_FUS_FUNCTION</COMMAND> 

<VERSION>1.0</VERSION> 

〈 /FUNCTION 〉 

</CSSFUe> 

ENABLE_AUTHENTE し GINA_FUNCnON 

注： 

1. このコマンドは Lenovo Fingerprint Software 専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、 Lenovo Fingerprint による Windows ログオンが有効じなり、 Client Security Solution によ 
る Windows ログオンが無効になります。 

<tvt depLoyment xmLns ="http;//www.lenovo.com" 

xmLns ： xsi="http ； //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.lenovo.com cssDepLoy.xsd"> 

く registry_settings /> 

< /tv し depLoymen い 
<FUNCT~I0N> 

<ORDER>0001</ORDER> 

<C0MMAND>ENABLE_AUTHENTEC_GINA_FUNCTI0N</C0MMAND> 

<VERSION>1.0</VERSION> 

〈 /FUNCTION 〉 

</CSSFUe> 

ENABLE—AUTHENTE し GINA_WITH_FUS_FUNCnON 

注： 

1. このコマンドは Lenovo Fingerprint Software 専用です。 

2. このコマンドは、エミュレーシヨン•モードではサポートされていません。 

次のコマンドでは、ユーザーの簡易切り替えがサポートされるログオンが有効になり 、 Client Security 
Sol 山 ion による Windows ログオンが無効になります。システム設定に従って、ユーザーの簡易切り替え 
は有効にならないことがあります。 

<tvt depLoyment xmLns ="http://www.lenovo.com" 

xmLns ： xsi="http ； //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.lenovo.com cssDepLoy.xsd"> 

く registry_settings /> 

< /tv し depLoyment 
<FUNCT~I0N> 

<ORDER>0001</ORDER> 

<COMMAND>ENABLE_AUTHENTEC_GINA_IaIIH_FUS_FUNCTION</COMMAND> 

<VERSION>1.0</VERSION> 
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〈 /FUNCTION 〉 

</CSSF1Le> 

ENABLE_NONE_GINA_FUNCTION 

Think Vantage 指紋認証ソフトウェア、 Client Security Solution 、 または Access Connections などの GINA 関連 
TVT コンポーネントのいずれかのログオンが使用可能な場合は、このコマンドは ThinkVa が age 指紋認証ソ 
フトウェアと Client Security Solution の両方のログオンを使用不可じします。 

<tvt depLoyment xmLns = "http ： //www.Lenovo.com" 

xmLns ： xsi="http ： //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDepLoy.xsd"> 

< registry_settings / > 

< /tv し depLoyment 
<FUNCnON> 

<ORDER>0001</ORDER> 

<COMMAND>ENABLE_CSS_NONE_FUNCTION</COMMAND> 

<VERSI0N>1 . 日く / VERSION 〉 

〈 /FUNCTION 〉 

</CSSFiLe> 

注：このコマンドは、エミュレーシヨン•モードではサポートされていません。 

SET_PP_FLAG_FUNCTION 

このコマンドは、 Client Security パスフレーズを使用するか、 Windows パスワードを使用するかを確認する 
ためじ、 Client Security Solution が読み取るフラグを書き込みます。 

<tvt depLoyment xmLns ="http ： //www.Lenovo.com" 

xmLns ： xsi="http ： //iAiww.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDepLoy.xsd"> 

< registry_settings / > 

< /tv し depLoyment 
<FUNCnON> 

<ORDER>0001</ORDER> 

<COMMAND>SET_PP_FLAG_FUNCTION く / COMMAND 〉 

<PP_FLAG_SETflNG_PARAMETER>USE_CSS_PP</PP_FLAG_SETTING_PARAMETER> 

<VERSION>1.0</VERSION> 

〈 /FUNCTION 〉 

</CSSFiLe> 

注：このコマンドは、エミュレーシヨン•モードではサポートされていません。 

SET_ADMIN_USER_FUNCTION 

このコマンドは、管理者を確認するために Client Security Solution が読み取るフラグを書き込みます。パラ 
方一夕一は次のとおりです。 

• USER NAME PARAMETER 

管理者のユーザー名。 

♦ DOMAIN NAME PARAMETER 

管理者のド^イン名。 

<tvt depLoyment xmLns = "http ： //www.Lenovo.com" 

xmLns ： xsi="http://www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDepLoy.xsd"> 

< registry_settings / > 

< /tv し depLoyment 
<FUNCnON> 

<ORDER>0001</ORDER> 

<C0MMAND>SET_ADniN_USER_FUNCTI0N</C0MMAND> 

<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> 

<D0MAiN NAME PARAnETER>IBri-2AA 92582 C79<D0MAIN NAME PARAMETER 〉 
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<VERSION>1.0</VERSION> 

<SYSTEM_PAP>PASSWORD</SYSTEM_PAP> 

</FUNCTION> 

</CSSFiLe> 

注：このコマンドは、エミュレーション•モードではサポートされていません。 

INITIAUZ し SYSTEM_FUNCTION 

この コマンドは、 Client Security So 山 tion システム機能を初期設定します。システム全体の鍵は、 この 
ファンクション 呼び出しにより生成されます。义のパラメーター•リストで、各 ファンクション につい 
て説明します。 

• NEW_OWNER_AUTH_DATA_PARAMETER 

この パラメー歹一は、システムの新規所有者パスワードを設定するために使用されます。新規所有者パ 
スワードの場合、 この パラメーターの値は現巧所有者パスワードにより制御されます。現巧所有者パス 
ワードが設定されていない場合、 この パラメーター の 値が渡されて新規所有者パスワードになります。 
現行所有者パスワードが既に設定され、管理者が同じ現行の所有者パスワードを使用する場合は、こ 
のパラメーターの値が渡されます。管理者が新規所有者パスワードを使用する場合、新規所有者パ 
スワードが この パラメーターに渡されます。 

• CURRENT_OWNER_AUTH_DATA_PARAMETER 

このパラ/ーターは、システムの現行所有者パスワードです。既にシステムに既存の所有者パスワード 
がある場合は、このパラメーターは前のパスワードを渡す必要があります。新規所有者パスワードが要 
求される場合、現行所有者パスワードがこのパラメーターに渡されます。パスワード変更が構成されて 
いない場合は、値 NO CURRENT OWNER AUTH が渡されます。 

<tvt depLoyment xmLns ="http;//www.lenovo.com" 

xmLns ： xsi="http ： //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.lenovo.com cssDepLoy.xsd"> 

く registry_settings /> 

< /tv し depLoyment 
<FUNcflON> 

<ORDER>0001</ORDER> 

<C0nMAND>INITIALIZE_SYSTEM_FUNCTI0N</C0MMAND> 

<NEW_OlAlNER_AUTH_DATA_PARAriETER>passlword</NEW_OlAlNER_AUTH_DATA_ 

PARAMETER> 

<CURRENT_OWNER_AUTH_DATA_PARAMETER>No_CURRENT_OWNER_AUTH</CURRENT 
_OWNER_AUTH_DAfA_PARAMETER> 

<VERSION>1.0</VERSION> 

〈 /FUNCTION 〉 

</CSSFUe> 

CHANGE_TPM_OWNER_AUTH_FUNCTION 

この コマンドは、 ClientSecurity Solution 管理者権限を変更し、それに応じてシステム鍵を更新します。シス 
テム全体の鍵は、このファンクション呼び出しにより再生成されます。パラメーターは次のとおりです。 

♦ NEW _ OWNE 民 AUTH DATA PA 民 AMETE 民 
TPM の新規所有者パ文ワード 

♦ CURRENT OWNER AUTH DATA PARAMETER 

TPM の現を所有者六スワ三ド — 

<tvt depLoyment xmLns ="http://www.Lenovo.com" 

xmLns ： xsi="http ： //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.lenovo.com cssDepLoy.xsd"> 

く registry_settings /> 

< /tv し depLoyment 
<FUNcflON> 

<ORDER>0001</ORDER> 

く C 日朋 AND>CHANGE TPM OWNER AUTH FUNCTI 日 N く / COMMAND 〉 
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<NEIaI owner AUTH data PARAMETER>newPassWord</NEW OWNER AUTH DATA 
PARA 心 ER> 

<CURRENT_OlAlNER_AUTH_DATA_PARAriETER>oldPassWord</CURRENT_OWNER_AUTH 

_DATA_PARAMETER> 

<VERsT0N>1 . 日く / VERSION 〉 

〈 /FUNCTION 〉 

</CSSF1Le> 

注：このコマンドは、エミュレーション-モードではサポートされていません。 

ENROLL_USER_FUNCnON 

このコマンドは、 Client Security Solution を使用する特定のユーザーを登録します。このファンクション 
は、ユーザー固有のセキュリティー•キーのすべてを所定のユーザーに作成します。パラメーターは次 
のとおりです。 

• USER_NAME_PARAMETER 
登録するユーザーのユーザー名 

• DOMAIN_NAME_PARAMETER 
登録するユーザーのド^イン名 

• USER_AUTH_DATA_PARAMETER 

ユーザーのセキュリティー.キーを作成するための TPM パスフレーズまたは Windows パスワード 

• WIN_PW_PARAMETER 

Windows パスワード 

<tvt depLoyment xmLns ="http ： //www.Lenovo.com" 

xmLns ： xsi="http ： //iAiww.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.Lenovo.com cssDepLoy.xsd"> 

< registry_settings / > 

< /tv し depLoyment 
<FUNCnON> 

<ORDER>0001</ORDER> 

<COMMAND>ENROLL_USER_FUNCTION く / COMMAND 〉 

<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAnETER> 

<D0MAiN_NAME_PARAnETER>IBM-2AA 92582 C79<D0MAIN_NAME_PARAMETER> 
<USER_AUTH_DATA_PARAMETER>myCssUserPassPhrase</USER_AUTH_DATA_PARAMETER> 

<lAlIN_PW_PARAMETER>myWindowsPassword</lAlIN_PlAl_PARAMETER> 

<VERSION>1.0</VERSION> 

〈 /FUNCTION 〉 

</CSSF1Le> 

USER_PW_RECOVERY_FUNCTION 

このコマンドは、特定 ユーザーの パスワード•リカバリーをセットアップします。パラメーターは义 
のとおりです。 

• USER_NAME_PARAMETER 

登録するユーザーのユーザー名 

• DOMAIN_NAME_PARAMETER 

登録するユーザーのドメイン名 

• USER PW_REC QUESTION COUNT 

ユーザーが 応答しなければならない質問の数 

• USER PW REC ANSWER DATA PARAMETER 

特定の質問に対する、保存されている応答。このパラメーターの実名には、応答される質問に対応す 
る番号が連結しています。 

• USER_PW_REC_STORED_PASSWORD_PARAMETER 

質問のすべてが正確に応答されると、ユーザーにをされる保をされたパスワード。 
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<tv し depLoyment xmLns ="http://www.Lenovo.com" 

xmLns ： xsi="http ； //www.w3.org/2001/XMLSchema-instance " xsi：schemaLocation = " 
http://www.lenovo.com cssDepLoy.xsd"> 

く registry_settings /> 

< /tv し depLoyment 
<FUNCT~I0N> 

<ORDER>0001</ORDER> 

く CO 朋 AND>USER_PW_RECOVERY_FUNCTI 日 N く / CO 朋 AND> 

<USER_NAME_PARAMETER>sabedi</USER_NAME_PARAMETER> 

<D0MAiN_NAME_PARAMETER>IBM-2AA 92582 C79<D0MAIN_NAME_PARAMETER> 

<USER_PW_REC_ANSWER_DATA_PARAnETER>Testl</USER_PlAl_REC_ANSWER_DATA_PARA 

METER 〉 

<USER_PW_REC_ANSWER_DATA_PARAnETER>Test2</USER_PW_REC_ANSWER_DATA_PARA 

METER 〉 

<USER_PW_REC_ANSlAlER_DATA_PARAMETER>Test3</USER_PW_REC_ANSlAlER_DATA_PARA 

METER> 

<USER_PW_REC_QUESTI0N_C0UNT>3</USER_PIaI_REC_QUESTI0N_C0UNT> 

<USER_PW_REC_QUESTION_LIST>20000,20001,20002</USER_PW_REC_QUESTION_LIST> 

</USER_piAi_REC_STORED_PASSWORD_PARAMETER>Passlword</USER_PlAl_REC_STORED_PASS 

1aI0RD_PARAMETER> 

<VERSION>1.0</VERSION> 

く / FUNCTION 〉 

</CSSFUe> 

GENERATE_MULT し FACTOR_DEV にし FUNCTION 

このコマンドは、認証に使用される Client Security Solution の《層デバイスを生成します。パラメー 
ターは义のとおりです。 

• USER _ NAME _ PARAMETER - 管理者のユーザー名。 

• DOMAINNAMEPARAMETER -管理者のドメイン名。 

• MULTIFACTORDEVICEUSERAUTH -ユーザーのセキュリティー.キーを作成するための Client 
Security パスフ レ ~ーズまたは Windows パスワード。 

<?xmL version = "1.0" encoding = "UTF-8" standalone = "no" ?> 

<CSSFile=xmLns = " www.ibm.com/security/CSS"> 

〈 FUNCTION 〉 

<ORDER>0001</ORDER> 

<COMMAND>GENERATE_riULTI_FACTOR_DEVICE_FUNCTION</COMMAND> 

<USER_NAME_PARAMETER>myUserName</USER_NAME_PARAMETER> 

<DOMAiN_NAME_PARAriETER>domainName</DOMAIN_NAME_PARAMETER> 

<MULT し FkTOR_DEVICE_USER_AUTH>myCssUserPassPhrase</MULT し FACTOR_DEVICE_USER_AUTH> 

<version>i.o<7version> 

〈 /FUNCTION 〉 

</CSSFiLe> 

SETUP_PDA_FUNCTION 

このコマンドは、 Client Security Solution と使用するために Rescue and Recovery ワークスぺースをセット 
アップします。 

<?xmL version = "1.0" encoding = "UTF-8" standalone = "no" ?> 

<CSSFile=xmLns = " www.ibm.com/security/CSS"> 

〈 FUNCTION 〉 

<ORDER>0001</ORDER> 

<C0MMAND>SETUP_PDA_FUNCTI0N</C0MMAND> 

<VERSION>1.0</VERSION> 

く / FUNCTION 〉 

</CSSFiLe> 
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SET_USER_AUTH_FUNCnON 

このコマンドは 、 Client Security Solution のユーザー認証を設定します。 

<?xmL version = "1.0" encoding = "UTF-8" standaLone = "no" ?> 

<CSSFiLe=xmlns = "www.ibm.com/security/CSS"> 

〈 FUNCTION 〉 

<ORDER>0001</ORDER> 

<COMMAND>SET_USER_AUTH_FUNCTION</COMMAND 〉 

<version>i.o<7vers~ion> 

〈 /FUNCTION 〉 

</CSSFUe> 

RSA SecudD 卜ークンの使用 

データ暗号化の暗号化アルゴリズム方式を利用すると、 Client Security Solution に加えて RSA SecurlD 卜一 
クンを使用することにより、お客様の企業に多層セキュリティーが提供されます。民 SA SecurlD トーク 
ンを使用して、ユーザーはユーザー ID または PIN 、 およびトークン•デバイスを使用してネットワー 
クやソフトウェアで認証され、ログインすることができます。トークン•デバイスは、如秒ごとに変 
わる数字のストリングを表示します。この認証方式では、再使用可能なパスワードと比較して格段に 
信頼性の高いユーザー認証が可能になります。 

RSA SecurlD ソフトウェア-卜ークンのインストール 

RSA SecurlD ソフトウェアをインストールするには、义のステップを実行します。 

1. 夕の Web サイトに移動します。 

http :// www . rsasecunty . com / 打 ode . asp?id 二 1156 

2. 登録プロセスを完了します。 

3. RSA SecurlD ソフトウェアをダウンロー ドおよびインストールします。 

要件 

1 . RSA ソフトウェアが Client Security Solution と関連付けられた後じ正しく動作するじは、各 Windows 
ユ ー ザ ー が Client Security Solution じ登録する必要があります。 

2. Windows ユーザーが Client Security Solutio 打じ登録していないと、そのユーザーを認証しようとし 
て、民 SA ソフトウェアはエンドレス•ループに贿ります。ユーザーを Client Security Solution に 
登録するとこの問題は解決します。 

スマート■力ード-アク七ス-オプションの設定 

スマート•カード-アクセス-オプションを設定するには、义のステップを実行します。 

1. 民 SA SecurlD メイン メニューから 、 『Tools (ツール)』、 『Smart Card Access Options (スマー ト•力一 
ド•アクセス* オプション)』 の順にクリックします。 

2. 『Smart Card Communication (スマート.力ード通信)』パネルから、『 Access the Smart Card through a 
PKCS #11 module (PKCS #11 モジュールを使用してスマート.カードにアクセス)』 のラジオ•ボ 

タンを選択します。 

3. 『 Browse (参照)』ボタンをクリックして、义のパスまでナビゲートします。 

C：¥Program FiLesYLENOVOYClient Security SolutionYcsspkcsll.dll 

4. csspkcsll . dll ファイルをクリックし、『 Select (選択)』をクリックします。 

5. 『 OK 』 をクリックします。 

RSA SecurlD ソフトウェア- I クンの手動インス!ル 

RSA SecurlD ソフトウェア*トークンによる Client Security Solution 保護を利用するじは、次のステップ 
を実行します。 
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1. RSA SecurlD ソフトウェア.トークンのメインメニューから 、 『File (ファイル)』、 『Import Tokens 
(トークンのインポート)』 の順にクリックします。 

2. SDTID ファイルの場所までナビゲートし、 『 Open (開く）』をクリックします。 

3. 『Select Token ( s ) to Install (インストー ルする卜ークンの還択)』パネルから、インストールしたいソフ 
トウェア*トークンのシリアル番号を強調表示します。 

4. 『Transfer Selected Tokens Smart Card (選択した卜ークンのスマート.力ードを転送)』をクリッ 

クします。 

注：トークンに配布パスワードがある場合、プロンプトが出されたらそのパスワードを入力します。 

5. 『 OK 』 をクリックします。 

Active Directory のサポート 

次のパスは Client Security Solution の PKCS #11モジュールがあるディレクトリ ー • パスを示します。 
C：¥Program FiLes¥Lenovo¥Client Security Solution¥csspkcsll.dLl 

Client Security Solution の PKCS #11 モジュールを利用するには、 Active Directory にな下のポリシーを 
設定する必要があります。 

1. PKCS #11署名 

2. PKCS #11暗号化解除 

次の表に、 PKCS # 11のポリシーの変更可能フィールドと説明を示します。 


ま 70. ThinkVantage¥Client Security 5olution¥Authentication Policies¥PKCS# 11 Signature が ustom Mode 


フィー ルド 

CSS.ADM 

変更可能フィールド 

必須 

フィールドの説明 

パスワードまたはパスフレーズが必要であるかどうか 
を制御します。 

可能な値 

• Enabled (有効） 

- Every time (毎回） 

- Once per logon (ログ オン ごと） 

• Disabled (無効） 

• Not configured (構成しない） 


指が七ンサー認証の設定とポリシー 


強制的な指紋バイパス-オプション 

指紋バイパス•オプションを使用すると、ユーザーは、指紋認証をバイパスでき、 Windows パスワードを 
使用してログオンできます。ユーザーは、新しい登録を追加するときに、 Password Manag ぴのユーザー • 
インターフェースでこのオプションを選択または運択解除できます。 

ただし、デフォルトでは、このオプションが還択されていない場合でも、指紋バイパスは有効になりま 
す。これは、指紋センサーが機能しなくても、ユーザーが Windows にログオンできるようにするためで 
す。強制的な指紋バイパス•オプションを無効にするには、义のレジストリー•キーを編集します。 
[ HKEY _ LOCAL _ MACHINE¥SO 口 WARE ¥ Lenovo¥(Uient Security SoLutionVCSS Configuration ] 
" GinaDenyLogonDeviceNonEnroLLed "= dword ： 00000001 

レジストリー-キーが上記のように設定されると、ユーザーは、指紋センサーが機能しないときに 
も指紋認証をバイパスできません。 
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指がの読み取り結ま 

指紋認証中は、下記のポリシーによって、指紋の読み取り結果の表示が制御されます。 
HKLM¥Lenovo¥TVT CommonYClient Security SoLution¥FPSwipeResuLt 

• FPSwipeResult =0: すべてのメッセージを表をします。 

• FPSwipeRes 山 t = l : 失敗のメッセージのみを表をします（デフオルト値)。 

• FPSwipeResult =2: メッセージを表示しません。 


コマンド■ライン-ツール 

企業の打管理者はコマンドライン-インターフェースを使用して、ローカルまたはリモートから 
ThinkVantage テクノロジーの機能を実装することもできます。設定情報は、リモートのテキスト- 
ファイル設定を介して保守する ことができます。 


Client Security Solution には义のコマンド*ライン•ツールがあります。 

• 35ページの 『 Security Advisor 』 

• 36ぺージの 『 Client Security Solution セットアップ.ウイザード』 


• 37ページの 

• 37ページの 

• 38ページの 

• 38ページの 

• 39ページの 


『デプロイメント-ファイルの暗号化または暗号化解除ツール』 
『デプロイメント.ファイル処理ツール』 

『TPMENABLE.EXE』 

『証明書転送ツール』 

『 TPM 有効化ツール』 


Security Advisor 

Client Security Solution から Security Advisor を実行するには、 T スタート』一『プログラム』一『すべて 
のプログラム』一 rThinkVantage 』 一 『Client Security Solution 』 とクリックします。『あ張』をクリック 
して、『セキュリティー設定の監査』を選択します。これにより、 C：¥Program Files ¥ Lenovo¥Common 
FilesYWSTYwst . exe がデフオルトでインストールされます。 


パラメーターは义のとおりです。 

表 。. パラメーター 


パラメーター 

説巧 

HardwarePasswords 

ハードウェア•パスワードの値を設定します。1はこ 
のセクションを表示し、0は隠します。デフォルト値 
は1です。 

PowerOnPassword 

パワーオン-パスワードを使用可能にする値か、設定 
にフラグを立てる値を設定します。 

HardDrivePassword 

ハードデイスクのパスワードを使用可能にする値か、設 
定にフラグを立てる値を設定します。 

AdmmistratorPassword 

管理者パスワードを使用可能にする値か、設定にフラグ 
を立てる値を設定します。 

WindowsUsersPasswords 

Windows ユーザー-パスワードの値を設定します。1 
はこのセクションを表示し、0は隠します。このパラ 
メーターが 表示されていない場合は、デフォルトで表示 
されます。 

Password 

ユーザー. パスワードを使用可能にする値か、設定にフ 
ラグを立てる値を設定します。 
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表。. ノ f ラメーター (続き) 


パラメーター 

説明 

PasswordAge 

このマシン上での、 Windows パスワードの使用日数の値 
を設定するか、設定にフラグを立てる値を設定します。 

PasswordNevemxpires 

Windows のパスワードが期限切れにならない値を設定す 
るか、設定にフラグを立てる値を設定します。 

W mdowsPasswordPolicy 

Windows パスワード-ポリシーの値を設定します。1 
はこのセクションを表示し、0は隠します。このパラ 
メーターが表示されていない場合は、デフォルトで表示 
されます。 

MinimumPasswordLength 

このマシン上でのパスワードの長さの値を設定するか、 
設定にフラグを立てる値を設定します。 

MaximumPasswordAge 

このマシン上でのパスワードの使用日数の値を設定する 
か、設定にフラグを立てる値を設定します。 

Screensaver 

スクリーン.セーバーの値を設定します。1はこのセク 
ションを表示し、0は隠します。このパラメーターが表 
示されていない場合は、デフォルトで表示されます。 

ScreenSaverPasswordSet 

スクリーン-セーパーにパスワードを要求する値を設定 
するか、設定にフラグを立てる値を設定します。 

ScreenSaverTimeout 

このマシン上でのスクリーン-セーバーのタイムア 
ウトの値を設定するか、設定にフラグを立てる値を設 
定します。 

FileSharing 

ファイル共有の値を設定します。1はこのセクションを 
表 7 K し、0は隠します。このパラメーターが表 7 K されて 
いない場合は、デフォルトで表示されます。 

AuthorizedAccessOnly 

ファイル共有のための許可されたアクセスを設定する値 
を設定するか、設定にフラグを立てる値を設定します。 

ClientSecurity 

Client Security の値を設定します。1はこのセクションを 
表示し、0は隠します。このパラメーターが表示されて 
いない場合は、デフォルトで表示されます。 

Embedde 过 SecurityChip 

セキュリティー-チップを使用可能にする値を設定する 
か、設定にフラグを立てる値を設定します。 

ClientSecuritySolution 

このマシン上で使用する Client Security Solution のバー 
ジョンの値を設定するか、設定にフラグを立てる値を設 
定します。 


Client Security Solution 七ットアップ ■ ウィザード 

Client Security Solution セットアップ•ウィザードは、 XML ファイルを介してデプロイメント•スクリプト 
を生成する際に使用します。次のコマンドを実行すると、ウィザードのさまざまな機能が表示されます。 
" C：¥Program FilesYLenovoYCLient Security SoLution¥css wizard . exe " /? 

次の表じ 、 Client Security Solution セツトアップ • ウイザードのコマンドを示します。 


表 。. Client Security Solution セットアップ.ウイ ザードのコマンド 


パラメーター 

結果 

化または/? 

ヘルプ*ゾッセージ*ボックスを表示します 

/ name : FILENAME 

生成されたデプロイメント-ファイルの完全修飾パス 
およびファイルるの前に付けます。このファイルには 
拡張モ . xml が付きます。 
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表 12 . Client Security Solution セットアップ- ウイ ザードのコマンド(続き) 


パラメーター 

結果 

/encrypt 

AES 暗号化を使用してスクリプト-ファイルを暗号化し 
ます。暗号化される場合、そのファイル名には. enc が付 
加されます。 /pass コマンドを巧用しない場合は、静的パ 
スフレーズを巧用して、ファイルを隠します。 

/ pass : 

暗号化されたデプロイメント-ファイルを保護するため 
に、パスフレーズの前に付けます。 

/novaliaate 

ウイザードのパスワードとパスフレーズのチェック機能 
を使用不可にして、すでに構成巧みの PC 上でスクリプ 
卜-ファイルを作成できるようにします。たとえば、 

現行 PC の管理者パスワードは、社内で要求される管 
理者パスワードではないことがあります。 /novaiidate コ 
マンドを使用するとユーザーは xml ファイル作成中に 

CSS wizard GUI に別の管理者パスワードを入力できます。 


例： 

CSS wizard.exe /encrypt /pass:my secret /name:C:¥DepLoyScnpt /novaiidate 

デプロイメント-ファイルの暗号化または暗号化解除ツール 

このツールは Client Security XML デプロイメント-ファイルの暗号化または暗号化解除に使用します。义 
のコマンドを実行すると、ツールのさまざまな機能が表をされます。 

"C：¥Program FiLes¥Lenouo¥CLient Security SolutionYxmL crypt tool.exe" /? 

パラメーターを次の表に示します。 


表 。' Client Security XML デプロイメント • ファイルを暗号化または暗号化解除するためのパラメーター 


パラメーター 

結果 

化または/? 

ヘルプ* メ ッ セージを表示します 

FILENAME 

.xml または. enc の拡張子を持つパスをおよびファイルを 
を表示します。 

encrypt まには decrypt 

.xml ファイルじは/ encrypt 、 .enc ファイルじは / decrypt 
を選択します。 

PASSPHRASE 

ファイルを保護するためにパスフレーズを巧用する場合 
に必要なオプション-パラメーターを表示します。 


例： 

xmL crypt too し exe "C ： ¥DeployScript.xmL" /encrypt "my secret" 

お王び" 

xmL_crypt_tooL.exe "C:¥DepLoyScript.xm し enc" /decrypt "my secret" 

デプロイメント.ファイル処理ツール 

ツール vmserver . exe は Client Security Solution XML デプロイメント•スクリプトを処理します。次のコマン 
ドを実行す ると、ウィ ザ ー ドのさまざまな機能が表示されます。 

"C：¥Program FiLes¥Lenouo¥CLient Security SolutionYumserver.exe" /? 

次の表に、ファイルを処理するためのパラメーターを示します。 
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表 14. ファイル 処理の パラメーター 


パラメーター 

結果 

FILENAME 

FILENAME パラメーターにはファイル拡張子 XML ま 
たは ENC がなければなりません。 

PASSPH 民 ASE 

PASSPHRA 犯パラメーターは、拡張子 ENC を持つファ 
イルの暗号化解除に使用します。 


例： 

Vmserver.exe C ：¥ DeployScnpt . xmL . enc"my secret " 

TPMENABLE.EXE 

tpmenable . exe フアイルはセキユリテイ ー • チップをオンじしたりオフにするために使用します。 
表巧. tpmenable.exe フアイノのノ、。ラメーター 


パラメーター 

説巧 

/enable または /disable 

セキュリティー-チップをオンにしたりオフにした 
りします。 

/quiet 

BIOS パスワードまたはエラーのプロンプトを隠します。 

sp:password 

Windows 2000および XP の場合に限っては、 BIOS 管理者 
/スーパーバイザー.パスワードは引用符で囲みません。 


例： 

tpmenabLe.exe /enable /quiet / sp:My BiosPW 

証明書転送ツール 

次の表に 、 Client Security Solution の証明書転送ツールのコマンド • ライン • スイッチを示します。 


表 1 ゎ . CSS cert transfer tooLexe <cert store tvpe > < fi(ter type>:<name / s に g> I all access / usage 


パラメーター 

説明 

<cert store tvpe > 

これは最初の必須パラメーターです。最初のスイッチとして使用し、 
ホの例のいずれか1つを組み込む必要があります。 

例： 

cert _ store_user 

ユーザー証明書のみを転送します。ユーザー証明書は、現 
在のユーザーに割り当てられます。 

cert store machine 

マシン証明書のみを転送します。マシン証明書は、マシン 
上で許可されたすベてのユーザーが使用できます。 

cert store all 

ユーザー証明書タイプとマシン証明書タイプの両方を 
転送します。 

<iilter type>:<name | size > 

これは2を目の必須パラメーターです。必須の <cert store type > パラ 
メーターの後に使用する必要があります。各フィルター-タイプ（下記 
を除く）の後にはコロン『:』が必要で、コロンの直後には、検索巧象 
の証明書所有者のる前、権限、または鍵サイズを指定する必要があり 
ます。このユーティリティーは大/小文字の区別があり、検索対象のを 
前が複合る（たとえば、 CAAu 化 ority など）である場合は、検索条件の 
前後に二重引用符‘…を使用する必要があります（例を参照)。 
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表 16. css _ cert _ t : ransfe し tool.exe < cert _ store _ type > < filter _ type>:<name / s / ze > / all_access / usage (続き) 


パラメーター 説明 


例： 

subject simple name :< name > 

証明書の発行先のを前と一致するすべての証明書を転送し 
ます。所有者のを前は < name > じ指定します。 


subject friendly name :< name > 

証明書の発行先のフレンドリーると一致するすべての 
証明書を転送します。フレンドリーるは < name > に指定 
します。 


issuer simple name :< name > 

証明書を発行した証明機関のを前と一致するすべての 
証明書を転送します。証明機関の名前は < name > に指定 
します。 


ssuer iriendly name :< name > 

証明書を発行した証明機関のフレンドリーをと一致するす 
ベての証明書を転送します。証明機関のフレンドリーを 
は < name > じ指定します。 


key size :< size > 

鍵サイズ < size > (ビット単位）で暗号化されたすべての証明 
書を転送します。これは完全一致突き合わせま準である 
ことに注意してください。プログラムは、そのサイズな 
上またはそのサイズ K 下の鍵サイズで暗号化された証明 
書を検索しません。 


次の2つのスイツチはスタンドアロンです。これらには2番目の引数はありません。 


al し access すべての証明書を転送します。フィルターに掛けないでください。 


usage コマンド*ラインに関する情報は提供しませんが、正しい使用法を判別するためじ使用される関数 

じよって、受け渡されたコマンドが正しいかどうかじ応じて、 true または false が返されます。 


TPM 有効化ツール 

tpm _ activate _ cmd . exe フアイルは、 Lenovo システム上で TPM を有効化または無効化するために使用 
されます。 

注：このコマンドを実行するためには、管理者権限が必要です。 


ま 77. Lenow システムで TPM をち効化またはあ効化するためのパラターター 


パラメーター 

説巧 

/help または/? 

パラメーターのリストを表示します。 

/ Diospw:password 

BIOS スーパーバイザーまたは管理者のパスワードが設 
定されている場合は、それを指定します。 

/deactivate 

TPM を無効化します。 

注： 1巧木一弓 一 /deactivate を指定して 

tpm activate cmd.exe を実行すると、デフオルトで TPM 

が有効化されます。 

/verbose 

テキスト出力を表示します。 


例： 

tpm activate cmd.exe /? 

tpm activate cmd.exe /verbose 

tpm_actiuate_cmd.exe /biospw:pass 
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Active Directory のサポート 

Active Directory はディレクトリー.サービスです。ディレクトリーは、ユーザーおよびリソースに関 
する情報が保存されている場所です。ディレクトリー-サービスによりアクセスが許可されるため、 
これらのリソースを操作することができます。 

ActiveDirectoiy が提供する機構により、管理者は PC 、 グループ、ユーザー、ドメイン、セキュリティー- 
ポリシー、およびすベてのタイプのユーザー定義オブジェクトを管理する機能を得られます 。 Active 
Directory がこの機能を付与するために使用するメカニズムのことを、グループポリシーといいます。管埋 
者は、グループポリシーを使用して、 PC やユーザーに適用できる設定をドメインの中に定義します。 

現在孔 inkVantage Technology 製品が使用している、プログラム設定の制御に使用する設定値を収集する方 
式には、特定のアプリケーション定義レジストリー項目からの読み取りなど、さまざまな方式があります。 

な下に 、 Active Directory が管理できる Client Security Solution の設定の例を示します。 

• セキュリティー•ポリシー 

• カスタム•セキュリティ ー•ポリシー ( Windows パスワードまたは Client Security Solution パスフ 
レーズを使用するかどうか、など） 

管理用 ( ADM ) テンプレート-ファイル 

ADM (管理用）テンプレート-ファイルは、クライアント PC 上のアプリケーションで使用されるポリシー 
設定を定義します。ポリシーとは、アプリケーションの動作を管理する特定の設定のことです。ポリシー 
設定は、ユーザーがアプリケーションを使用して特定の設定値を設定できるかどうかも定義します。 

サーバー上の管理者が定義する設定は、ポリシーとして定義されます。クライアント PC 上のユーザーが 
定義する、アプリケーションに関する設定は、プリファレンスとして定義されます。 Microsoft 社による定 
義のとおりに、ポリシー設定はプリファレンスより優先します。 

例えば、ユーザーは自分のデスクトップ上に背景イメージを表示することができます。これは、ユーザー 
のプリファレンス設定です。管理者は、ユーザーが特定の背景イメージを使用しなければならないこと 
を決定する設定をサーバー上で定義できます。管理者のポリシー設定は、ユーザーによるプリファレ 
ンス設定をオーバーライドします。 

Think Vantage Technology 製品が設定を確認する際に、义の順序で設定を検索します。 

. コンピューター . ポリシー 
• ユーザー.ポリ シー 
• デフォルトのユーザー.ポリシー 
• PC プリファレンス 
• ユーザー•プリファレンス 
• デフォルトのユーザー•プリファレンス 

前述のように、コンピューター•ポリシーとユーザー•ポリシーは、管理者によって定義されます 。 XML 
構成ファイルか ActiveDirectoiy のグループ-ポリシーを使用してこれらの設定値を初期化できます 。 PC 
プリファレンスとユーザー•プリファレンスは、クライアント PC 上のユーザーによって、アプリケー 
ション-インターフェース内のオプションを使用して設定されます。デフォルトのユーザー-プリファレ 
ンスは、 XML 構成スクリプトによって初期化されます。ユーザーは値を直接には変更しません。ユー 
ザーがこれらの設定値に変更を加えるには、ユーザー-プリファレンスを更新します。 
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Active Directory を使用していないお客様は、クライアント.システムにデプロイされるポリシー設定のデ 
フォルト•セットを作成することができます。管理者は、 XML 構成スクリプトを変更して、製品のイン 
ストール時にそれらが処理されるように指定することができます。 

管巧可能設定の定義 

この例では、义の階層を使用して、グループポリシーエディター内に設定を表をします。 

Computer Connguration>Administrative TempLates>ThinkVantage TechnoLogies> 

Client Security Solution>Authentication Pohcies>Max Retries 〉 

Password number of retries 


ADM ファイルは、レジストリー内の、設定が反映される場所を示します。これらの設定は、レジ 
ストリー内の义の場所になければなりません。 

Computer policies ： 

HKLM¥Software¥PoLicies¥Lenovo¥CLient Security SoLutionY 
User policies ： 

HKCU¥Software¥PoLicies¥Lenovo¥CLient Security Solution^ 

Default user policies ： 

HKLn¥Software¥PoLicies¥Lenovo¥CLient Security SolutionYUser defaults 
Computer preferences ： 

HKLM¥Software¥Lenovo¥CLient Security SoLutionY 
User preferences ： 

HKCU¥Software¥Lenovo¥CLient Security SoLution¥ 

Default user preferences ： 

HKLM¥Software¥Lenovo¥CLient Security SoLutionYUser defaults 

グ ルー プ■ポリ シーの 設定 

このセクシヨンの表には、 Client Security Solution の PC 構成およびユーザー構成のポリシー設定が記載 
されています。 

巧試行の最大回数 

次の表に、『認証ポリシー』の『再試行の最大回数』のポリシー設定を示します。 


表 18. コンピュ —夕の構成-* ■ ThinkVantage -*■ Client Security Solution -*■ 認証ポ リシ— *■ 巧試巧の最大回を 


ポリ シー 

有効な設定 

説明 

Password number or 

retries 

再試行の最大回数 
は20です。 

ユーザーがポリシーをオーバーライドする前に Windows パスワード 
を使用して認証を試行できる最大回数を制御します。 

Passphrase number of 
retries 

再試行の最大回数 
は20です。 

ユーザーがポリシーをオーバーライドする前じ Client Security パス 
フレーズを使用して認証を試行できる最大回数を制御します。 

Fingerprint number of 
retries 

再試行の最大回数 
は20です。 

ユーザーがポリシーをオーバーライドする前に指紋を使用して認証 
を試行できる最大回数を制御します。 


よりま全 

次の表に、『認証ポリシー』の『よりを全』のポリシー設定を示します。 


ま 79. コンピュータの構ぶ*菅理用テンプレート* ThinkVantage -*■ Client Se 扣 rity So 山 tion ■認証ポリシ— *■ 
巧證モード 


ポリ シー 

有効な設定 

説明 

パスワード 

頻度を 『Every time (毎回)』 または 『 Once per logon 
(ログオンの度に 1 回)』 じ設定します。 

パスワードが必要であるかどうかを 
制御します。 

Passphrase 

頻度を 『Every time (毎回)』 または 『 Once per logon 
(ログオンの 度に 1 回)』 じ設定します。 

パス フレーズが 必要であるかどうかを 
制御します。 
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表 19. コンピュータの構成* 管巧用テンプレート ThinkVantage Client Security Solution ^ SEtIs U x — * 
保護モード(続き) 


ポリシー 

有効な設定 

説明 

指紋 

頻度を 『Every time (毎回)』または 『 Once per logon 
(ログオンの巧に 1回)』に設定します。 

指紋が必要であるかどうかを制御し 
ます。 

無効にする 

パスワード、パスフレーズ、または指紋をオー 
バーライドするように設定します。 

通常の認証が失敗した場合の『フォー 
ルバック』認証の要件を定義します。 


デフオルト"モード 

次の表に、『認証ポリシー』の『デフォルト•モード』のポリシー設定を示します。 


表 20. コンピユー タの 構成吵 V 理用 テンブレート ♦ ThinkVantage ^ Client Security Solution ^原狂ポリシー 
デフオルト•モード 


ポリシー 

有効な設定 

説巧 

パスワード 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの度に 1回)』じ設定できます。 

パスワードが必要であるかどうかを制 
御します。 

Passphrase 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの度に 1回)』じ設定できます。 

パスフレーズが必要であるかどうかを 
制御します。 

指紋 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの度に 1回)』じ設定できます。 

指紋が必要であるかどうかを制御しま 
す。 

無効にする 

パスワード、パスフレーズ、または指紋をオー 
バーライドするように設定します。 

通常の認証が失敗した場合の『フォー 
ルバック』認証の要件を定義します。 


認証ポリシー 

次のポリシーのリストじは、各ポリシーの認証レベルを定義する有効な設定が記載されています。 

• Windows logon (Windows への ログオン） 

• System unlock (PC の ロック解除） 

• Password manager f Pas sword Manager を開く) 

• CSP signature (CSP シグニチヤー） 

• CSP decryption (CSP 暗号化解除） 

• PKCS #11 signature ( PKCS #11 シグニチヤー） 

• PKCS #11 decryption ( PKCS #11 暗号化解除） 

• PKCS #11 logon ( PKCS #11 ロ グオン） 

次の表に、上記の認証レベルに対する値および設定を示します。 

表 21. コンピュ — 夕の猜成 * 着理用テンプレート ThinkVantage -*• Client Security Solution -*• US^— 


ポリシー 

有効な設定 

説明 

パスワード 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの 度に 1回)』じ設定します。 

パスワードが必要であるかどうかを 
制御します。 

Passphrase 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの 度に 1回)』じ設定します。 

パスフレーズが必要であるかどうかを 
制御します。 

指紋 

頻度を 『Every time (毎回)』または 『Once per logon 
(ログオンの 度に 1回)』じ設定します。 

指紋が必要であるかどうかを制御し 
ます。 

無効にする 

パスワード、パスフレーズ、または指紋をオー 
バーライドするようじ設定します。 

通常の認証が失敗した場合の『フォー 
ルバック』認証の要件を定義します。 
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Password Manager 

次の表じ 、 Password Manager のポリシー設定を示します。 


表 22. コンビュータの猜成 ThinkVantage Client Security Solution Password Manager 


ポリシー設定 

説明 

Disable Password manager 

システム始動時じ Password Manager が開始するかどうかを制御します。 

Disable Internet i^xplorer support 

Password Manager が Internet Explorer からパスワードを保存できるかど 
うかを制御します。 

Disable Mozilla support 

Password Manager が Mozilla ベース* ブラウザー （Firefox および Netscape 
など）からパスワードを保存できるかどうかを制御します。 

Disable support for Windows applications 

Password Manager が Windows アプリケーシヨンからパスワードを保存で 
きるかどうかを制御します。 

Disable Auto-fill 

Password Manager が Web サイトおよび Windows アプリケーシヨンへの 
データの Auto - fill を行うかどうかを制御します。 

Disable Hotkey support 

Password Manager が Web サイトおよび Windows アプリケーシヨンじ 
データを入力するためのホット.キーの使用をサポートするかどうか 
を制御します。 

Use Domain filtering 

Password Manager がドメインじ基づいて Web サイトをフイルタリングす 
るかどうかを制御します。 

Prohibited Domains 

Password Manager がパスワードの保ちを禁止されているドメインを制 
御します。 

Prohibited URLs 

Password Manager がパスワードの保存を禁止されている URL を制御し 
ます。 

Prohibited Modules 

Password Manager がパスワードの保存を禁止されている Windows アプリ 
ケーシヨンを制御します。 

Auto-fill Hotkey 

Auto - 础 Hotkey CO Ctrl + F 2 を制御します。 

Type and Transfer Hotkey 

Type and Transfer Hotkey の Ctrl + Shift 十 H を制御します。 

Manage Hotkey 

ホット.キーの Ctrl + Shift + B を制御します。 


User Interface 

次の表に、『ユーザー•インターフェース』のポリシー設定を示します。 

表 23. コンピュータの構ぶ今 ThinkVantage 今 Client Security Solution 今ユーザー•インターフエ —ス 


ポリシー設定 

説明 

Fingerorint software option 

Client Security Solution の指紋認証ソフトウエアのオプシヨンを表示する 
か、 ぼかすか、非表示にします。デフォルト：表示。 

File encryption option 

Client Security Solution のファイル暗号化オプシヨンを表示するか、ぼかす 
か、 非表示にします。デフォルト：表示。 

Security settings audit option 

Client Security Solution のセキュリティー設定の監査オプシヨンを表示する 
か、 ぼかすか、非表示じします。デフォルト：表示。 

Digital certificate transfer option 

Client Security Solution のディジタル証明書の転送オプシヨンを表示する 
か、 ぼかすか、非表示じします。デフォルト：表示。 

Change security chip status option 

Client Security Solution のセキュリティー*チップの状態オプシヨンを表示 
するか、ぼかすか、非表示じします。デフォルト：表示。 
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ま 2 えコンピュ —夕の 猜 成-^ ThinkVantage -*• Client Security Solution -*• ユーザー•インターフエ —ス（続き) 


ポリシー設定 

説明 

Clear security chip lockout option 

Client Security Solution のセキュリティー*チップのロック解除オプション 
を表示するか、ぼかすか、非表示じします。デフォルト：表示。 

Policy manager option 

Client Security Solution の Policy manager オプションを表示するか、ぼかす 
か、 非表示にします。デフォルト：表示。 

Reset/Configure settings option 

Client Security Solution アプリケーションの『構成ウィザード』オプション 
を表示するか、ぼかすか、非表示じします。デフォルト：表示。 

Password manager option 

Client Security Solution の Password manager オプションを表示するか、ぼ 
かすか、非表示じします。デフォルト：表示。 

Hardware Password Reset option 

Client Security Solution のハードウエア*パスワードのリセット*オプシヨ 
ンを表示するか、ぼかすか、非表示にします。デフォルト：表示。 

Windows password recovery option 

Client Security Solution の Windows パスワードの復元オプションを表示す 
るか、ぼかすか、非表示にします。デフォルト：表示。 

Change authentication mode option 

Client Security Solution アプリケーションの『認証モードの変更』オプショ 
ンを表示するか、ぼかすか、非表示にします。デフォルト：表示。 

Enable/disable Windows password recovery 
option 

Client Security So 山 tion の、 Windows パスワードの復元を有効/無効にす 
るためのオプションを表示するか、ぼかすか、非表示じします。デ 
フォルト：表示。 

Enaole/disable Password Manager option 

Client Security Solution の 、 Password Manager を有効/無効にするためのオプ 
ションを表示するか、ぼかすか、非表示じします。デフォルト：表示。 


ワー クス テーシヨン • セキュリティー-ツール 

次の表に、『ワークステーション-セキュリティー-ツール』のポリシー設定を示します。 


ま 24. コンピュータの構成今 ThinkVan ね ge 吵口 ient Security Solution 吵 ワークス テーシヨ ン • セキュ リ テイー • ツール 


ポリ シー 

設定 

説明 

ハードウエア*パスワー 
ド' 

八ードウエア-パスワード 

ハードウエア-パスワード情報の表示を有効または無効 
にします。 

ハードウエア*パスワー 
ド' 

Power-On Password 

推奨値を有効または無効として選択するか、この設定を 
無視することを選択します。 

ハードウエア*パスワー 
ド' 

Hard Drive Password 

推奨値を有効または無効として選択するか、この設定を 
無視することを選択します。 

ハードウエア*パスワー 
ド' 

Administrator Password 

推奨値を有効または無効として選択するか、この設定を 
無視することを選択します。 

Windows Users Passwords 

Windows Users Passwords 

Windows ユーザー-パスワード情報の表示を有効または 
無効にします。 

Windows Users Passwords 

Password 

推奨値を有効または無効として選択するか、この設定を 
無視することを選択します。 

Windows Users Passwords 

Password Age 

パスワードが許可される最大日数。 

Windows Users Passwords 

Password never expires 

推奨値を 『 True 』 、 『 False 』 、または『無視 （ Ignore )』 じ 
設定することができます。 

Windows Password Policy 

Windows Password Policy 

Windows パスワード•ポリシー情報の表示を有効または 
無効にします。 

Windows Password Policy 

Minimum number of characters 
in the password 

パスワードの最小文字数を指定するか、この値を『無 
視』します。 
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表 24. コンピユータの猜成今 ThinkVan ね ge 今 Client Security Solution 呼 ワークステーシヨン • セキュりティー. 

シール (続き) 


ポリ シー 

設定 

説明 

Windows Password Policy 

Maximum password age 

パスワードの最大使用日数（日数）を設定するか、結果で 
この値を『無視』します。 

Screen Saver 

Screen Saver 

Windows パスワード*ポリシー情報の表示を有効または 
無効じします。 

Screen Saver 

Screen Saver password set 

パスワードの最小文字数を指定するか、この値を『無 
視』します。 

Screen Saver 

Screen Saver timeout 

パスワードの最大使用日数（日数）を設定するか、結果で 
この値を『無視』します。 

File Sharing 

File Sharing 

ファイル共有情報の表示を有効または無効にします。 

File Sharing 

Authorized access 

推奨値を 『 True 』 、 『 False 』 、または『無視 （ Ignore )』 じ 
設定することができます。 

Client Security 

Client Security 

Client Security 情報の表示を有効または無効にします。 

Client Security 

Embedded Security Chip 

推奨値を有効または無効として選択するか、この設定を 
無視することを設定します。 

Client Security 

Client Security Solution Version 

Client Security Solution の最小推奨バージヨンを設定する 
か、 『無視 （ Ignore) 』 を設定します。 


Active Update 

System Update はローカル.システム上の更新クライアント PC を使用して、ユーザーとの対話を行わずに 
Web 上の希望するパッケージを配信します。 System Update は更新されたクライアント PC を照会し、使用 
可能な更新クライアント PC を使用して希望するパッケージをインストールします。 System Update は 
孔 inkVantage System Update か、システム上のソフトウェア導入支援を起動します。 

System 坤 date Launcher がインストール済みかどうかを判別するには、义のレジストリ ー•キーの存在 
を確認します。 

HKLM¥software¥Lenovo¥Active Update 

System Update を呼び出すじは、呼び出し側 Think Vantage テクノロジー.プログラムが System Update ラン 
チャー. プログラムを起動して、 パラメーター . ファイルを渡す必要があります。 （パラメーター - ファ 
イルの説明じついては、『 System Update パラ 方一夕一 • ファイル』を参照してください。） 

すべての Think Vantage テクノロジー • プログラムのヘルプ • 方ニューから System Update Launcher の方 
ニュー項目を無効にするじは、次の手順に従います。 

1. HKLM¥software¥lenovo¥Active Update レジストリ ー•キーじ進む。 

2. ActiveUpdate キーの名前を変更するか削除する。 

System Update パラメーター • ファイル 

System Update パラメーター • ファイルには、 System Update に渡される設定が含まれています。义の例で 
示すように TargetApp パラメーターが渡されます。 

<root> 

<TargetApp>ACCESSLENOVO</TargetApp> 

</root> 

<root> 

<TargetApp>lEA5A8D5-7E33-11D2-B802-00104B 21678 D</TargetApp> 

</root> 
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第 4 章 ThinkVantage 指紋認証ソフトウエアでの作業 

指紋コンソールは指紋認証ソフトウエア•インストール-フォルダーから実行する必要がありま 
す。基本的な構文は FPRCONSOLE [USER | SETTINGS ] です。 USER コマンドまたは SETTINGS コマン 
ドは、使用する操作モードを指定します。完全なコマンドは 『fprconsole user add TestUser 』 のようにな 
ります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマン 
ド•リストがパラメーターと共に表示されます。 

Fingerprint Software および Management Console をダウンロー ドするには、义の Lenovo Web サイトを参照し 
てください。 

http :// www . lenovo . com / support / site . wss / document . do ? s け estvle 二 lenovo & l 打 docid 二 H 0 ME - LEN 0 V 0 


管理コン ソー ル-ツール 

このセクションでは、ユーザー固有コマンドとグローバル設定のコマンドに関する情報を提供します。 

ユーザー固有コマンド 

ユーザーの 登録や編集を巧う場合は、 USER セクションを使用します。現行ユーザーが管理者権限を持っ 
ていない場合、コンソールの振る舞いは指紋認証ソフトウェアのセキュリティー-モードによって異なり 
ます。保護モード：どのコマンドも許可されません。簡易モード：標準ユーザーでは、 ADD 、 EDIT 、 
および DELETE コマンドが使用できます。ただし、ユーザーは自分のパスポート（ユーザー名で登録） 
しか変更できません。構文は义のとおりです。 

FPRCONSOLE USER command 

ここで、 command は ADD 、 EDIT 、 DELETE 、 LIST 、 IMPORT 、 EXPO 民 T のいずれかのコマンドです。 


表 25. ユー ザー固有 コマンド 


コマンド 

構文 

説明 

新規ユーザーの登録 

例： 

fprconsoLe user add 
domain 日 ¥testuser 

ADD [username [I domainY 
username]] 

ユーザーをが指定されない場合は、現 
行ユーザーをが使用されます。 

fprconsoLe user add 
testuser 



登録ユーザーの編集 

例： 

fprconsoLe user edit 
domain 日 ¥testuser 

EDIT [username [I domainY 
username]] 

ユーザーをが指定されない場合は、現 
行ユーザーをが使用されます。 

注：登録されるユーザーはまず自分の 
指紋を検査する必要があります。 

fprconsoLe user edit 
testuser 




◎ Copyright Lenovo 2008, 2012 
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まパ. ューザー固有コマンド(続き) 


コマンド 

構文 

説明 

ユーザーの削除 

例： 

fprconsoLe user delete 
domainOYtestuser 

fprconsoLe user delete 
testuser 

fprconsoLe user delete 
/ALL 

DELETE [username [I domainY 
username I /ALL]] 

/ALL フラグは、この PC に登録され 
ているすべてのユーザーを削除しま 
す。ユーザー名が指定されない場合 
は、現行ユーザーるが使用されます。 

登録ユーザーの列挙 

List 

登録されたユーザーをリストします。 

登録ユーザーのファイルへの 
エクスポート 

構文： EXPORT username 
[1 domainYusername] file 

このコマンドは、登録ユーザーを ハー 
ドディスクのファイルにエクスポー 
卜します。ユーザーはホに、別の PC 
上、またはユーザーが削除されてい 
る場合は同じ PC 上の IMPORT コマン 
ドを使用してインポートできます。 

登録ユーザーのインポート 

Syntax ： IMPORT file 

このコマンドは指定したファイルから 
ユーザーをインポートします。 

注： ファイル上のユーザーが同じ指紋 
を使用してすでに同じ PC に登録され 
ている場合は、識別操作でどちらの 
ユーザーが優先順位を持つかは保証 
されません。 


グローバル設定のコマンド 

指紋認証ソフトウエアのグローバル設定は、 SETTINGS セクシヨンによって変更できます。このセクシヨ 
ンのすべてのコマンドには、管理者権限が必要です。構文は义のとおりです。 

FPRCONSOLE SETTINGS command 

ここで、 command は SECUREMODE 、 LOGON 、 CAD 、 TBX 、 SSO のいずれかのコマンドです。 


ま 26. グロ ーバル設定のコマンド 


コマンド 

構文 

説巧 

セキュリティー*モード 

例： 

To set to convenient mode: 
fprconsoLe settings 
securemode 0 

SECUREMODE Oil 

この設定は、指紋認証ソフトウェアの簡易 
モードと保護モードを切り替えます。 

ログオン•タイプ 

LOGON Oil [/FUS] 

この設定は、ログオン•アプリケーション 
を使用可能（ 1) 、または使用不可 （ 0 ) にしま 
す。 /FUS パラメーターを使用する場合、 

PC の構成上可能であれば、ユーザーの簡 
易切り替えモードでログオンが可能です。 

CT 民 L+ALT 十 DEL ^ッセージ 

CAD Oil 

この設定は、ログオンでの 『 Ctri+Alt+Delete 
を押す』テキストを使用可能（ 1 )、または 
使用不可 （ 0) にします。 
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まが.グロ ーバル設定のコマンド(続き) 


コマンド 

構文 

説明 

パワーオン-セキュリティー 

TBX 011 

この設定は 、 Fingerprint Software のパワー 
オン*セキュリティ ー * サポートをグロー 
バルにオフ （0) じします。パワーオン* 

セキュリティー*サポートがオフじなっ 
ている場合は、 BIOS 設定に関係なく、パ 
ワーオン*セキュリティー*ウィザード 
やパワーオン.セキュリティー.ぺージ 
は表不されません。 

パワーオン-セキュリティー•シン 
グル•サインオン 

SSO 011 

この設定は、ユーザーが BIOS で検査され 
た際に、自動的にユーザーをログオンさ 
せるための logon で、 BIOS で巧用される 
指紋を使用可能（1)、または使用不可 （0) 
にします。 


保護モードおよびな S モード 

指紋認証ソフトウェアは、保護モードと簡易モードの2つのセキュリティー-モードで実行すること 
ができます。保護モードは、より高レベルのセキュリティーが必要な状況を対象としています。特定 
の機能は管理者にのみ、確保されています。追加認証をせず、パスワードを使用してログオンできる 
のは管理者だけです。 

簡易モードは高レベルのセキュリティーをそれほど重要視しない、家庭用 PC を対象にしています。すべ 
てのユーザーは、他のユーザーのパスポートの編集およびパスワードを使用して（指紋認証は行わない） 
システムにログオンするなどの、すべての操作を実行できます。 

管巧者は、 ローカル管埋者グループの任意のメンバーです。保護モードを設定した後は、管理者だ 
けが簡易モードに切り替えることができます。 

保護モード-管理者 

セキュリティーを強化するために、ログオンのとき、誤ったユーザー名やパスワードが入力された場 
合は、保護モードでは义のメッセージが表示されます。『ユーザー名とパスワードでこの PC にログ 
オンできるのは管埋者だけです。』 

ま之スが護モードでの鲁理を巧オプション 


指紋 

説明 

新規パスポートの作成 

管理者は自分のパスポートを作成することができ、 

また、制限ユーザーのパスポートも作成することがで 
きます。 

パスポートの編集 

管理者は自分のパスポートどけを編集できます。 

パスポートの削除 

管理者はすべての制限ユーザーとその化の管理者のパス 
ポートを削除できます。化のユーザーがパワーオン•セ 
キュリティーを使用している場合、管理者はパワーオ 
ン-セキュリティーからユーザー-テンプレートをオプ 
シヨンで削除することができます。 

パワーオン-セキュリティー 

管理者は、パワーオンで使用される制限ユーザーおよび 
管理者の指紋を削除することができます。 

注： パワーオン-モードが使用可能な場合は、少なくと 
も1つの指紋がなければなりません。 

設定 
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表 27. 保護モードでの管理者用オプション（続き) 


指紋 

説明 

ログオン設定 

管理者はすべてのログオン設定を変更できます。 

保護スクリーン.セーバー 

管理者はアクセスできます。 

パス ポー ト•タイプ 

管理者はアクセスできます-サーバーと関連ある場合 
のみです。 

セキュリテイー-モード 

管理者は保護モードと簡易モードを切り替えることが 
できます。 

Pro サーバー 

管理者はアクセスできます-サーバーと関連ある場合 
のみです。 


保護 モー ド-制 おユーザー 

Windows にログオン中は、制限ユーザーはログオンに指紋を使用する必要があります。制限ユーザーの指 
紋センサーが作動していない場合は、管埋者は指紋認証ソフトウェアの設定を簡易モードに変更して、 
ユーザー名とパスワードによるアクセスを可能にする必要があります。 

表 28. 保護モードでの制眼ユーザー用オプション 


設定 

説巧 

新規パスポートの作成 

制限ユーザーはアクセスできません。 

パスポートの編集 

制限ユーザーは自分のパスポートだけを編集できます。 

パスポートの削除 

制限ユーザーは自分のパスポートだけを削除できます。 

パワーオン-セキュリティー 

制限ユーザーはアクセスできません。 

ログオン設定 

制限ユーザーはログオン設定を変更できません。 

保護スクリーン.セーバー 

制限ユーザーはアクセスできます。 

パスポート•タイプ 

制限ユーザーはアクセスできません。 

セキュリティー-モード 

制限ユーザーはセキュリティー-モードを変更でき 
ません。 

Pro サーバー 

制限ユーザーはアクセスできます-サーバーと関連ある 
場合のみです。 


巧 S モード-管理者 

Windows へのログオン中は、管理者はユーザー名とパスワードを使用しても、指紋を使用してもログ 
オンできます。 


表 29. 簡易モードでの管理者用オプション 



設定 

説明 

新規パスポートの作成 

管理者は自分のパスポートだけを作成できます。 

パスポートの編集 

管理者は自分のパスポートどけを編集できます。 

パスポートの削除 

管理者は自分のパスポートだけを削除できます。 

パワーオン-セキュリティー 

管理者は、パワーオンで使用される制限ユーザーおよび 
管理者の指紋を削除することができます。 

注： パワーオン•モードが使用可能な場合は、少なく 
とも1つの指紋がなければなりません。 
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まパ. 簡易モードでの管理者用オプション（続き) 


設定 

説明 

ログオン設定 

管理者はすべてのログオン設定を変更できます。 

保護スクリーン.セーバー 

管理者はアクセスできます。 

パスポート •タイプ 

管理者はアクセスできます-サーバーと関連ある場合 
のみです。 

セキュリティー-モード 

管理者は保護モードと簡易モードを切り替えることが 
できます。 

Pro サーバー 

管理者はアクセスできます-サーバーと関連ある場合 
のみです。 


簡易モード-制限ユーザー 


Windows への ログオン中は、制限ユーザーはユーザー名とパスワードを使用しても、指紋を使用して 
もログオンできます。 

表扣' 簡易モードでの制限ユーザー用オプション 


設定 

説巧 

新規パスポートの作成 

制限ユーザーは自分のパスワードだけを作成できます。 

パスポートの編集 

制限ユーザーは自分のパスポートだけを編集できます。 

パスポートの削除 

制限ユーザーは自分のパスポートだけを削除できます。 

パワーオン-セキュリティー 

制限ユーザーは自分の指紋だけを削除できます。 

ログオン設定 

制限ユーザーはログオン設定を変更できません。 

保護スクリーン.セーバー 

制限ユーザーはアクセスできます。 

パスポート•タイプ 

制限ユーザーはアクセスできません-サーバーと関連 
ある場合のみです。 

セキュリティー-モード 

制限ユーザーはセキュリティー-モードを変更でき 
ません。 

Pro サーバー 

制限ユーザーはアクセスできます-サーバーと関連ある 
場合のみです。 


清成可能な設定 

指紋認証ソフトウェアの一部のオプションはレジストリー設定で構成することができます。 

. 起動前/パワーオン時ソフトウェア•インターフェース： 指紋の起動前またはパワーオン時サポートを 
有効にし、指紋をコンパニオン•チップに格納するための機構は、システムに BIOS またはハード 
ディスク•パスワードが設定されていない限り、通常は指紋認証ソフトウェアに表をされません。こ 
の動作をオーバーライドし、 BIOS またはハードディスク•パスワードが設定されていなくてもこ 
れらのオプションを強制的に表をさせるには、レジストリーにな下のいずれか（使用しているコン 
ピューター. マシン. タイプに適用されるもの）を追加します。 

[HKEY LOCAL MACHINE ¥ SOFTWARE¥Protector Suite QLYl . O ] 


EG _ DW 0 RD " BiosFeatures " = 2 
または 

[ HKEY _ LOCAL _ MACHINE ¥ SO 口！/ JARE¥Pmtector Suite QLYl . O ] 
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REG _ DIaIORD " BiosFeatures " = 4 

この設定は、 BIOS パスワードが設定されていないシステムに Safe 饥 ardEasy がインストールされ、そ 
の Safe 加 ardEasy がハードディスクを暗号化解除するのに指紋認証を利用している場合に役立ちます。 

• 音： 指紋認証ソフトウェアは、指紋認証プロセスの実行中のさまざまな状況下において、 . wav ファイル 
に含まれる音を再生するように構成できます。これらの音のレジストリー設定はかのとおりです。 

[HKEY_L0CA し MACHINE だ 0FTWARE が rotector Suite QL¥1.0¥settings] 

'Successt 

REG SZ " sndSuccess " = [path to sound file ] 

スクイプザ’正常に登録されると、指定のファイルザ’再生されます。 

Failure ’ 

REG_SZ " sndFaUure " = [path to sound file ] 

スクイプの試行に失敗すると、指定のファイルザ’再生されます。 


HKEY_L0CAL_l1ACHINES0FTUAREPoL1ciesfingerprint 

Scan ’ 

REG_SZ " sndScan " = [path to sound file ] 

Client Security Solution 関連の操作を巧って指紋検証の 
ダイア□グザ‘表示されると、指定のファイルザ’再生されます。 

値ザ’指定されていないか、空であると、サウンドは再生されません。 

Quality ’ 

REG_SZ " sndQuality " = [path to sound file ] 

読占取り不可能なスワイプカ、"発生すると、指定のファイルカ、"再生されます。 

値ザ’指定されていないか、空であると、サウンドは再生されません。 

. システム•ロックが除中のパスワードの有効性検証： デフォルトでは、システム•ロック解除中に 
は、保存されているパスワードが指紋認証ソフトウェアによって有効性が検証されます。有効性検証 
では、ドメイン•コントローラーと連絡を取る必要があり、遅延が生じる可能性があります。遅延 
を回避するには、システム•ロック解除中に义のようにレジストリーを編集して、パスワードの有 
効性検証を無効にします。 

[ HKEY _ LOCAL _ MACHINE ¥ SO 口 WARE¥Protector Suite QL ¥1.0¥ settings ] 

REG _ DW 0 RD " DoNotTestUnlock"=l 

Fingerprint Software はシステム • ログオン時には、引き続きパスワードの有効性を検証します。 

注： 上記のレジストリー-キーを1に設定すると、ドメイン管理者がユーザーのシステムをロックす 
る時期を変更した場合は、ユーザーがログオフして再度ログオンするまで、指紋認証ソフトウェア 
には旧パスワードが保存されます。 


指紋認証ソフトウェアおよび Novell Netware Client 

競合を防止するために、指紋認証ソフトウェアおよび Novell NetWare Client の ユーザー 名とパスワ ー 
ドは一致する必要があります。お使いの PC に指紋認証ソフトウェアがインストールしてあり 、 Novell 
Netware Client をインストールする場合は、レジストリーの一部の項目が上書きされることがあります。指 
紋認証ソフトウェアのログオンで問題が発生した場合は、ログオン設定画面に移動して、ログオン • 
プロテクターを 再度使用可能にしてください。 

お使いの PC に Novell Netware Client がインストールされていても、指紋認証ソフトウェアのインストール 
前にクライアント PC にログオンしていなかった場合、 Novell のログオン画面が表をされます。画面 
で、必要な情報を入力してください。 

注：このセクションの情報は 孔 inkVantage 指紋認証ソフトウェア専用です。 

ログオン-プロテクター設定を変更するには、かのようにします。 
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• 『コントロールセンター』を開始する。 

• 『設定』 をクリックする。 

• 『ログオン 設定』をクリックする。 

. ログオン•プロテクターを使用可能または使用不可にする。指紋ログオンを使用したい場合は、 
『Windows ログオン認証を通常のパスワード認証から指紋認証に置き換える』チェック•ボック 
スにチェック-マークを付けます。 

注： ログオン-プロテクターを使用可能、または使用不可にするには、再起動が必要です。 

. お使いのシステムでユーザーの簡易切り替えがサポートされている場合は、これを使用可能また 
は使用不可にする。 

• (オプシヨン機能）パワーオン-セキュリティーによって認証されたユーザーの自動ログオンを使用可 
能または使用不可にする。 

• Novell ログオン設定を設定する。 Novell ネットワークにログオンする場合は、义の設定が使用可能です。 

-活動化 

指紋認証ソフトウェアは自動的に既知のクレデンシャルを提供します。 Novell のログオンが失敗する 
と 、 Novell Client ログオン画面が表をされ、正しいデータの入力を要求するプロンプトが出されます。 

-ログオン中の質問 

指紋認証ソフトウェアは Novell Client ログオン画面を表示して、ログオン-データの入力を要ます 
るプロンプトを出します。 

- Disabled 

指紋認証ソフトウェアは Novell ログオンを試行しません。 

認証 

Novell を指紋認証ソフトウェアに引き渡すには、义のステップを実巧します。 

1. 指紋認証ソフトウェアをインストールする。 

2. Novell Netware Client をインストールする。 

3. プロンプトが出されたら、 『はい』 をクリックしてログオンする。 

4. 再起動する。 

5. プロンプトが出されたら、『はい』をクリックして指紋認証ソフトウェアにログオンする。 

6. Novell Netware Client を起動する。 

7. サーバーに対して認証を行う。 

8. Windows にログオンする。 

9. 再起動する。 

注： Windows と Novell の認証 ID およびパスワードは同じでなければなりません。 


ThinkVantage 指紋認証ソフトウエアのサービス 

Think Vantage 指紋認証ソフトウエアのインストール後、 upeksvr . exe サービスがシステムに追加されます。 
起動中に実行が開始されて、ユーザーがログオンしている間中、実行が続けられます。 up 浊 svr . exe サー 
ビスは、 ThinkVantage 指紋認証ソフトウエアのコアで、デバイスとユーザーのデータに対してすベて 
の操作を実行します。また、すべての生体測定検査の GUI を提供し、ユーザーのデータに対するアク 
セスをセキュアにします。 
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第 5 章 Lenovo Fingerprint Software での作業 

指紋コンソールは 、 Lenovo Fingerprint Software インストール•フオルダーから実巧する必要があります。 
基本的な構文は FPRCONSOLE [USER | SETTINGS ] です 。 USER コマンドまたは SETTINGS コマンドは、ど 
の操作セットを使用するかを指定します。完全なコマンドは 『 fprconsole user add TestUser 』 のようにな 
ります。コマンドがわからない場合やすべてのパラメーターが指定されていない場合は、短いコマン 
ド-リストがパラメーターと共に表示されます。 


管理コンソール-ツール 

Lenovo Fingerprint Software の管理コンソール.ツールについては、47ページの『管理コンソール.ツー 
ル』を参照してください。 


Lenovo Fingerprint Software のサービス 

注： Lenovo Fingerprint Software は、システム上の夕ーミナル•サービスを必要とします。夕ーミナル* 
サービスをオフにすると 、 Lenovo Fingerprint Software で予期しない結果が生じる可能性があります。 

Lenovo Fingerprint Software のインストール後、な下のサービスがシステムに追加されます。 

• ATService.exe (デフオルトでオン） 

指紋認証システムを使用するには、 ATService . exe サービスをオンにする必要があります。このサービ 
スは、指紋センサーを使用してアプリケーションからの要求を管埋します。 

• ADMonitor.exe (デフォルトでオフ） 

Active Directory 管理をサポートするには、 ADMonitor . exe サービスをオンにする必要があります。この 
サービスは、 ActiveDirectoiy から伝搬された変更がないかレジストリーをモニターし、ローカルで 
その変更を反映させます。 


Lenovo Fingerprint Software の Active Directory サボート 

次の表じ 、 Lenovo Fingerprint Software のポリシー設定を示します。 


表 31. ポリシー設定 


設定 

説明 

指紋ログオンを有効にする/無効にする 

コンピューターにログインするために Windows パス 
ワードではなく、指紋センサーを使用するように指定 
します。これを使用可能に設定した場合、さらに使用 
可能または使用不可に設定できる2つのオプションが 
あります。 

• Disable CTRL + ALT+DEL dialog for logon interface 
このオプションを選択すると、ユーザーに 
Ctrl + Alt + Delete を押してログオンするように指示す 
るメッセージがオフになります。 （ WindowsXP での 
み使用可能です。） 

• Require non-administrator user to logon with fingerprint 
authentication 

このオプションを還択した場合、管理者な外のユー 
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表 31. ポリシー設定(続き) 


設定 

説巧 


ザーは、指紋センサーを使用したログオンのみが 
可能になります。 

指紋認証後のパスワードの取得を許可する 

これを使用可能に設定した場合、ユーザーは、指紋認証 
後に、 Lenovo Fingerprint Software でユーザーのアカウン 
卜の Windows パスワードを表示できます。 

パワーオン-セキュリティ-オプシヨンを常に表示する 

これを使用可能に設定した場合、コンピューターが才 
ンになったとき、ユーザーは、パワーオン•パスワー 
ドとハードディスク-ドライブ-パスワードではなく 
指紋センサーを使用するように還択できます。 Lenovo 
Fingerprint Software の登録ウィンドウで、登録する各指 
ごとに、パワーオン指紋認証を使用可能または使用不 
可に設定できます。 

パワーオン*パスワードと HD パスワードの代わりに 
指紋認証を使用する 

これを使用可能に設定すると、パワーオンおよびハー 
ドディスク-ドライブのパスワードではなく、指紋認 
証が使用されます。 

ロックアウトされる前に許可するログオン試行回数 
を設定する 

ユーザーがロックアウトされる前に許可するログオン試 
行失敗の数を設定し、ユーザーがロックアウトされる期 
間（秒単位）も設定します。 

非活動期間を設定する 

ユーザーがログオフするまでに許可されるシステムの 
非活動期間（秒単位）を設定します。 

ユーザーの指紋登録を許可する 

これを使用可能じ設定した場合、管理者 K 外のユー 
ザーは、 Lenovo Fingerprint Software を使用して指紋を 
登録できます。 

ユーザーによる指紋削除を許可する 

これを使用可能に設定した場合、管理者な外のユーザー 
は、 Lenovo F ingerprint Software を使用して、 K 前に登録 
した指紋を削除できます。 

Allow users to import/export fingerprints 

これを使用可能じ設定した場合、管理者 K 外のユーザー 
は、 Lenovo F ingerprint Software を使用して、な前に登録 
した指紋をインポートおよびエクスポートできます。 

指紋認証ソフトウェアの『設定』タブの要素を表示 
する/隠す 

これを使用可能じ設定した場合、 IT 管理者は、指紋認証 
ソフトウエアの設定 GUI を制御できます。 
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第 6 章ベスト-プラクティス 

この章では、 Client Security Solution および Fingerprint Software のべスト*プラクティスを示すシナリオ 
を提示します。このシナリオでは、ハードディスク-ドライブの設定から始まり、何回かの更新を斤 
い、デプロイメントまでの手順を説明しています。 Lenovo および他社製の両方の PC でのインストール 
を説明します。 

Client Security Solution をインストールする場合のデプロイメント例 

次のセクションでは、 Client Security Solution をデスクトップ • コンピューターとノートブック • コン 
ピューターの両方にインストールする場合の例をいくつか挙げます。 

シナリオ1 

これは、各製品を义のような仮定のカスタマー要件でデスクトップ PC にインストールする場合の例です。 

• Administration 

- PC の管理にローカル管理者アカウントを使用 

• Client Security Solution 

-エミュレーション•モードでのインストールおよび実行 

- Lenovo の PC すべてが TPM (セキュリティー-チップ） を備えているわけではありません。 

- Client Security パスフレーズを使用可能に設定 

-パスフレーズによって Client Security Solution アプリケーションを保護します。 

- Client Security Windows ログオンを使用可能に設定 

- Client Security パスフレーズで Windows にログインします。 

-エンド.ユーザー.パスフレーズのリカバリー機能を使用可能に設定 

-ユーザーが、自分で決めた3つの質問に答えることによって、パスフレーズをリカバリーで 
きるようにします。 

-パスワード= " XMLscriptPW " を使用した Client Security Solution XML スクリプトを暗号化します。 

- Client Security Solution 構成ファイルをパスワードで保護します。 

-指紋認証ソフトウエアのインストールはオプション 

準備マシンでな下を実行します。 

1. Windows の『ローカル管埋者』アカウントでログインします。 

2. Client Security Sol 山 ion プログラムを、义のオプションを指定してインストールします。 

Client Security Solution ： tvtcss 82_ xxxx.exe /s / u " /qn " EMULATIONMODE = r ’ 

(where XXXX is the build ID ) 

"NOCSSlAlIZARD = r" 

3 . 再起動後、ローカル管理者アカウントで Windows にログインし、デプロイメント用の XML スクリプ 
卜を作成します。コマンド-ラインから义のコマンドを実行してください。 

" C：¥Program FiLes ¥ Lenouo¥Client Security SoLutionYcss wizarde . exe " 

ウィザードで、义のオプションを選択します。 

• セキュア•ログオン•メソッド-►ホへ をクリックします。 
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• 管理者アカウント用の Windows パスワードを入力し、 『かへ』 をクリックします。（たとえ 
ば WPW 4 Admin ) 

• 管理者アカウント用の Client Security パスフレーズ （ CSPP 4 Admin など）を入力して、 『Client Security 
パ スフレーズを使用して、 Rescue and Recovery ワークス ぺ ースへのアクセスを保護す る』チェ ッ 

ク•ボックスにチェック•マークを付けてから、 『ホへ』 をクリックします。 

. 管理者アカウント用の3つの質問と回答を選択してから、 『かへ』 をクリックします。 

a . 初めて飼ったペットの名前は？ 

(たとえば Snowball ) 

b . 好きな映画は？ 

(たとえば『風と共に去りぬ』） 

C. 好きなスポーツ•チームは？ 

(にとス は 、 Carolina Hurricanes ) 

• 『要約』を確認し、 『適用』 を選択して XML ファイルを C:¥ThinkCentre.xmL に書きをみ、もう 
一度 『適用』 をクリックします。 

. 『完了』をクリックしてウィザードを閉じる 

4. テキスト•エディターで义のファイルを開き （ XML スクリプト•エディターまたは Microsoft Word 
2003には XML フォーマット機能が組みをまれています)、な下の設定を変更します。 

. ドメイン設定への参照をすべて削除します。これにより、スクリプトには、各システムで代わり 
にローカル PC 名を使用するように通知されます。ファイルを保存します。 

5. C：¥Program FiLes¥Lenovo¥CLient Security SolutionYxmL crypt too し exe のツールを使用して 、 XML スク 
リプトをパスワードで暗号化します。コマンド•プ n ンプ~卜からファイルを実行するには、义の 
構文を使用します。 

a . xml crvpt tool.exe C :¥ ThinK ： Centre.xml /encrypt XMLScriptPW . 

b . これでファイルは C :¥ ThinkCentre . xml . enc となり、パスワードニ XMLScriptPW で保護されます。 
これで、ファイル C : 巧 hinkCentre . xml . enc をデプロイメント PC に追加する準備ができました。 

デプロイメント.マシンでな下を実斤します。 

1. ローカル管理者アカウントで Windows にログインします。 

2. Rescue and Recovery および Client Security Solution プログラムを、义のオプションを指定してインス 
トールします。 

setup _ tvtrnr 40_ xxxxcc.exe /s / v '7 qn " EMULATI 日 NM 0 DE = r ’ 

( ここで；〇 : 姑:はビルド ID で、 CC は国別 コードです。） 

"NOCSSlAlIZARD = r" 

注： 

a . Windows XP では Z 652 ZIXxxxxyy 00. tvt > Windows Vista では Z 633 ZISxxxxyy 00 .tvt (xxxx はビルド ID 、 
yy は国 ID です）などの. tvt ファイルが実行可能ファイルと同じフォルダーにあることを確認しま 
す。同じフォルダーにない場合、インストールは失敗します。 

b . 管埋者用インストールを実行する場合は、57ページの『シナリオ1』を参照してください。 

3. 再起動後、ローカル管埋者アカウントで Windows にログインします。 

4. 先に作成した ThinkCentre . xml . enc ファイルを C :¥ のルート•ディレクトリーに追加します。 

5. RunOnceEx コマンドを、な下のパラメーターを指定して作成します。 

• RunonceEx キーに0日01という新規キーを追加します。义のようになります。 

HKEY _ LOCAL_MACHINE ¥ Software ¥ Microsoft ¥ Windows¥Current Version ¥ Run 0 nceEx ¥0001 
. そのキーに、ストリング値の名前 CSSEnroU を义の値で追加します。 
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"C：¥Program FiLes¥Lenouo¥Client Security SoLutionYvmserver.exe" 

C ： ¥ThinkCenter.xmL.enc XMLscriptPW 

6. %rr7oC：¥Program FiLesYLenovoYRescue and RecoveryYrrcmd.exe" sysprepbackup location=L name = "Sysprep 
Backup を実行します。システムの準備ができたら、义のように出力されます。 

申 * Ready to take sysprep backup.** 

ホ本本本 

** PLEASE RUN SYSPREP NOW AND SHUT DOWN.** 

本本本本 

** Next time the machine boots, it will boot ** 

** to the Predesktop Area and take a backup.** 

7. Sysprep を実巧します。 

8. PC をシャツトダウンしてから再起動します。民 escue a 打 d 民 ecovery ワークスぺースで、バツクアツプ処 
理が開始されます。 

注：^ッセージ『復元が進行中ですが、バックアップが行われています』が表をされます。バック 
アップ後は、電源をオフにします。再起動はしないでください。 

これで、 Sysprep の基本バックアップが完了しました。 

シナリオ2 

これは、各製品を义のような仮定のカスタマー要件でノートブックにインストールする場合の例です。 

• Administration 

-な前のバージョンの Client Security So 山 tion がインストールされている PC にインストール 
- PC の管理にドメイン管理者アカウントを使用 

-すべてのコンピューターに、 BIOS スーパーバイザー.パスワード BIOSpw を割り当て 

• Client Secuntv Solution 

- TPM を活用 

-すべての PC にセキュリティー•チップを搭載 
- Password Manager を使用可能に設定 

- Client Security Solution に対する認証として、ユーザーの Windows パスワードを活用 
-パスワード= " XMLscriptPW " を使用した Client Security Solution XML スクリプトの暗号化 
- Client Security Solution 構成ファイルをパスワードで保護します。 

• ThinkVantage 指紋認証ソフトウェア 

- BIOS とハードディスクのパスワードを使用しない 
-指紋認証ソフトウェアによるログオン 

-一定のセルフ•ユーザー登録期間後、ユーザーは、管埋者な外のユーザーの場合は指紋を必 
要とするセキュア•モード.ログオンに切り替えるため、デュアル.ファクター認証方式を 
効果的に実巧できます。 

-指紋チュートリアルの組み达み 

-エンド•ユーザーが、指紋を正しく読み取らせる方法や、操作を間違った場合は視覚的なフィー 
ドバックを得る方法を知ることができます。 

準備マシンでな下を実斤します。 

1. 電源オフの状態から PC を始動し、 F 1 を押して BIOS に入り、 『 Security 』 メニューに移動して 『Clear 
Security Chip 』 を 『 Yes 』 にします。保存してから BIOS を終了します。 
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2. ド^イン管理者アカウントで Windows にログインします。 

3. Think Vantage 指紋認証ソフトウエアをインストールします。 の 01 zpz 2001 us 00 .exe を実巧して、 Web 
パッケージから setup.exe ファイルを解凍します。 setup.exe は、自動的に次の場所に解凍されます。 

C ：¥ SWT 00 LS ¥ APPS ¥ TFS 5.8.2- BuiLdxxxxYAppLicationY 0409 Ysetup.exe (ここで、 xxxx はビルド ID です)。 

4. fD 01 zpz 7001 us 00 .exe を実巧して Web パッケージから tutess.exe ファイルを解凍し、 Think Vantage 指紋 
チュートリアルをインストールします。 setup.exe は、自動的じ次の場所じ解凍されます。 

C ： ¥SWT00LS¥APPS¥tutorial¥TFS5.8.2 BuildxxxxYTutoriaLY0409Ytutess.exe 

5. fD 01 zpz 5001 us 00 .exe を実巧して Web パッケージから fprconsole.exe を解凍し、 ThinkVantage 指紋コン 
ソールをインストールします。 の 01 zpz 5001 us 00 .exe を実巧すると、 setup.exe は自動的じ次の場所に解 
凍されます。 

C ： ¥SWTOOLS¥APPS¥fpr_con¥APPS¥UPEK¥FPR Console¥TFS5.8.2-BuiLdxxxYFprconsoLeYfprconsole.exe 

6. Client Security Solution プログラムを、次のオプションを指定してインストールします。 
tutcss 82_ xxxxcc.exe /s / v *7 qn N 0 CSSWIZARD =1 SUPERVISORPW = 

" BIOSpw "" 

7. 再起動後はド^イン管理者アカウントで Windows じログインし、デプロイ^ント用の XML スクリプ 
卜を作成します。コマンド-ラインから次のコマンドを実巧してください。 

" C:¥Program FilesYLenovoYCLient Security SoLution¥css wizard . exe " 

/ name ： C：¥ThinkPad 

ウィザードで、スクリプト例に合わせて义のオプションを選択します。 

• セキュア•ログオン•メソッド-►かへ をクリックします。 

• ドメイン管理者アカウント用の Windows パスワード （ lAlPW 4 Admin など）を入力して、『ホへ』 

をクリックします。 

• ドメイン管理者アカウントの Client Security パスフレーズを入力 

. 『パスワードの復元設定を無視』 にチェック•マークを付け、 『かへ』 をクリックします。 

• 要約を確認し、 『適用』 をクリックして、 XML ファイルを义の場所に書き达みます。 

C ： ¥ThinkPad.xmL 

. 『完了』 をクリックしてウィザードを閉じます。 

8. C：¥Program FiLes¥Lenovo¥CLient Security SolutionYxmL crypt too し exe のツールを使用して 、 XML スク 
リプトをパスワードで暗号化します。コマンド•プらンプ h から、义の構文を実行します。 

a . xml crypt tool.exe C ： ¥ThinkPad.xmL /encrypt XMLScriptPW 

b . これでファイルは C : 巧 hinkPad . xml . enc となり、パスワード= XMLScriptPW で保護されます。 

デプロイメント-マシンでな下を実巧します。 

1. 自社のソフトウェア配布ツールを使用して、 ThinkVantage Fingerprint Software の実行可能ファイル 
setup.exe 俾備 PC から各デプロイメント PC に解凍されたもの）をデプロイします。 setup.exe が PC に 
配信されたら、义のコマンドを実行してインストールを巧います。 

setup.exe CTLCNTR =0 /q /i 

2. 自社のソフトウェア配布ツールを使用して、 ThinkVantage Fingerprint チュートリアルの実行可能ファ 
イル tutess.exe (準備 PC から各デプロイメント PC じ解凍されたもの）をデプロイします。 tutess.exe が 
PC じ配信されたら、次のコマンドを実巧してインストールを巧います。 

tutess.exe /q り 

3. 自社のソフトウェア配布ツールを使用して、 ThinkVantage Fingerprint Console の実行可能ファイル 
fprconsole.exe (準備 PC から各デプロイメント PC に解凍されたもの）をデプロイします。 

• を rconsole.exe フアイルを C：¥Program F1Les¥Think Vantage Fingerprint SoftwareY デイレクトリーに人 
れます。 

• 次のコマンドを実行して、 BIOS パワーオン•セキュリティー•サポートをオフにします。 
fprconsole.exe settings TBX 0 
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4. 自社のソフトウェア配布ツールを使用して、 孔 inkVantage Client Solution 実行可能ファイル 
tvtvcss 82_ xxxx.exe (ここで xxxx はビルド の） をデプロイします。 

• tvtvcss 82_ xxxx . exe が PC に配信されたら、义のコマンドを実巧してインストールを行います。 
tvtvcss83_xxxx.exe Is /v"/qn "N0CSSWIZARD=1" "SUPERVISORPW="BIOSpw"" 

. ソフトウェアをインストールすると、 TPM ハードウェアが自動的に使用可能になります。 

5. システムの再起動後、义の手順で、 XML スクリプト•ファイルによるシステム構成を巧います。 

• 先に作成した ThinkPad . xml . enc ファイルを、 C :¥ ディレクトリーにコピーします。 

• 別のコマンド•プロンプトを開き、な下を実行します。 

"C：¥Program FiLes¥Lenouo¥CLient Security SoLutionYumserver.exe" C:¥Th1nkPad.xm し enc XMLScriptPW 

6. 再起動すると、システムで Client Security Solution ユーザー登録の準備ができています。各ユーザー 
は、それぞれのユーザー ID と Windows パスワードでシステムにログインできます。システムに口 
グインする各ユーザーに 、 Client Security Solution への登録を促すプロンプトが自動的に出され、 
登録すると、指紋センサーへの登録ができるようになります。 

7. システムのすべてのユーザーが ThinkVantage 指紋認証ソフトウェアに登録されたら、セキュア-モー 
ド設定を使用可能にして、 Windows のすベての管理者な外のユーザーに、各自の指紋でログオン 
させるようにすることができます。 

• 义のコマンドを実行します。 

"C：¥Program り Les¥ThinkVantage Mngerprint SoftwareYfprconsoLe.exe" settings securemode 1 

• 『パスワードを使用してログインするには Ctrl + Alt + Delete を押してください （Press Ctrl + Alt+Delete 
to log in using a password ) J というメッセージをログオン画面から削除するには、义のコマンドを 
実行してください。 

"C：¥Program り Les¥ThinkVantage Mngerprint SoftwareYfprconsoLe.exe settings" 

CAD 0 

これで 、 Client Security Solution 8.21 と ThinkVantage 指紋認証ソフトウェアのデプロイ方ントが完了 
しました。 


Client Security Solution モードの切り替え 

Client Security Solution モードを『便利なログオン•方ソッド』から『セキュア•ログオン•方ソッド』に 
切り替えるか、『セキュア•ログオン•方ソッド』から『便利なログオン•方ソッド』に切り替える 
場合で、システムのバックアップじ Rescue and Recovery を使用している場合、モードを切り替えた後 
に新しい基本バックアップをとってください。 


企業用 Active Directory の展開 

企業用 Active Directory を展開する場合、かのステップを実行します。 

1 .Active Directory または LANDesk を使用してインストールします。 

a . Active Directory および LANDesk を使用してバックアップを取り、バックアップを取った人 
物と時点について報告を得ます。 

b . バックアップの作成、バックアップの削除、スケジュール•オプション、およびパスワードの 
制約事項に関する機能を特定のグループに付与してから、グループを変更し、設定がを続する 
かどうかを参照します。 

C. Active Directory から Antidote Delivery Manager を有効にします。実巧するパッケージを提供し、報 
告が取りをまれることを確認します。 


CD またはスクリプト-ファイルのスタンドアロン-インス I ル 

CD またはスクリプト-ファイルのスタンドアロン-インストールの場合、义のステップを実行します。 
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1. バッチ*ファイルを使用して Client Security Sol 山 ion および指紋認証ソフトウエア*テクノロジーを 
サイレント•インストールします。 

2. BIOS パスワード•リカバリーをサイレント構成します。 

System Update 

System Update をするには、义のステップを実行します。 

1. 内容を制御するために、 Lenovo サーバーに移動する代わりに、大企業がサーバーをセットアップする 
方法をシミュレートして、カスタマイズ済みのシステム更新サーバーを使って Client Security Solution 
および指紋認証ソフトウエア-テクノロジーをインストールします。 

2. 3種類のバージョンの古いソフトウエア （Rescue and Recovery 1.0/2. 0/3.0、指紋認証 、 Client Security 
Solution 5.4 ~ 6> FFE ) を上書きインストールします。古いバージョンに上書きして新しいバージョン 
をインストールする際には、設定を保持する必要があります。 

System Migration Assistant 

Client Security Solution 7.0 のある T 40 から Client Security Solution 8.21 のある T 60 にマイグレーシヨンします。 

TPM でのお生成を使用した証明*の生成 

証明書は Client Security CSP を使用して直接生成でき、証明書内の秘密鍵は TPM によって生成され、保護 
されます 。 Client Security So 山 tionCSP を使用して証明書を要ホするには、义のようにします。 

ま件 

• サーバー.マシンにな下がインストールされている必要があります。 

- Windows 2003 Enterprise な上 
- Active Directory 
-証明機関サービス 

• クライアント-マシンはな下の要件に適合している必要があります。 

- TPM が使用可能になっている 
- Client Security Solution がインストールされている 

サーバーからの証明書の要求 
TPM ユーザーのテンプレートの作成 

TMP ユーザーのテンプレートを作成するには、な下の手順をすべて実行します。 

1. r スタート』- ► r ファイル名を指定して実斤』 をクリックします。 

2. mmc と入力し、 『 OK 』 をクリックします。コンソール•ウィンドウが表示されます。 

3. 『ファイル』 メニューの 『スナップインの追加と削除』 をクリックしてから、 『追加』 をクリックし 
ます。『スタンドアロンスナップインの追加』ウィンドウが表示されます。 

4. スナップイン•リストで 『証明機関』 をダブルクリックし、 『閉じる』 をクリックします。 

5. 『スナップインの追加と削除』ウィンドウで 『 OK 』 をクリックします。 

6. コンソール•ツリーから 『証明書テンプレート』 をクリックします。すべての証明書テンプレー 
卜が左側のペインに表をされます。 

7. 操作-►テンプレートの 複製の順にクリックします。 

8. 『表示名』フィールドに TPM User と入力します。 
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9. 『要ボ 処理』タブで 『 CSP 』 をクリックします。 『サブジェクトのコンピュータで利用可能な 任意の 

CSP 』 が選択されていることを確認します。 

10. 『一般』 タブをクリックします 。 『A 幻 ive Directory の証明書を発斤する』 が選択されていること 
を確認します。 

11. 『グループ名 または ユーザー名』リストの 『セキュリティ』 タブをクリックし 、 『Authenticated 
Users 』 をクリックして 、 『Authenticated Users のアクセス許可』 で 『登録』 が選択されていること 
を確認します。 

エンタープライズ証明おおの巧成 

エンタープライズ証明機関を構成して TPM ユーザー証明書を発行するには、な下の手順をすべて実 
巧します。 

1. 証明機関を開きます。 

2. コンソール•ツリーで、 『証明書テンプレート』 をクリックします。 

3. 『操作』 メニューから 新規-►発行する証明書を クリックします。 

4. 『 TPM 』 をクリックし、 『 OK 』 をクリックします。 

クライアントからの証明書の適用 

クライアントから証明書を適用するには、な下の手順をすべて実行します。 

1. イントラネットへ接続し、 Internet Explorer を開始して、 CA サービスがインストールされているサー 
バーの IP アドレスを入力します。 

2. プロンプト•ウィンドウにドメイン-ユーザー名とパスワードを入力します。 

3. 『タスクの選択』の『証明書の要ポ』 をクリックします。 

4. Web ページの下部にある 『証明書の要ホの詳細 設定』をクリックします。 

5. 『証明書の要求の詳細設定』ページで、な下の設定を変更します。 

• 『証明書テンプレート』 ドロップダウン•リストから 『 TPM ユーザー （TPM User) 』 を選択します。 

• 『 CSP 』 ドロップダウン * リストから 『ThinkVantage Client Security Solution CSP 』 を選択します。 

. 『エクスポート可能なキーとしてマークす る』が選択されていないことを確認します。 

• 『送信』をクリックし、プロセスに従います。 

. 『証明書は発行されました』ページで 『この証明書のインストール』 をクリックします。『インス 
トールされた証明書』ページが表示されます。 


2008 ThinkPad ノートブック . コンピューター.モデル 
(R400/R500/T400/T500/W500/X200/X301 ) での USB 指紋七ンサー付きキー 
ボードの使用 

Lenovo は、 ThinkPad ® ノートブック.コンピューター . モデルと USB キーボードにおける指紋認証を提供 
する2つのベンダーと契約しています。2008より前の Th inkP ad ノートブック.コンピューター.モデル 
(例えば、 T 61 など）では、 ThinkVantage 指紋センサーを使用します。2008 ThinkPad ノートブック•コ 
ンピューター.モデル （ T 400 な降）では、 Lenovo 指紋センサーを使用します。 Lenovo の USB 指紋セン 
サー付きキーボードではすべて、孔 ink Vantage 指紋センサーを使用します。一部の ThinkPad ノー トフッ 
り. モデル（例えば、外部 USB キーボードを備えた ThinkPad T 400 など）で指紋センサー付きキーボード 
を使用するときには、特別な考慮が必要です。 

このセクションでは、最新の ThinkPad ノートブック.コンピューター•モデルにインストールされた指紋 
認証ソフトウェアの一般的な使用法のシナリオとデプロイメントの戦略について説明します。 

注： 
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• Lenovo Fingerprint Software 

Lenovo Fingerprint Software は、 AuthenTec 指紋センサー（例えば、 T 400 内蔵の指紋センサーなど）の 
ソフトウェアです。 

• Think Vantage fingerprint Software 

ThinkVantage 指紋認証ソフトウェアは、 UPEK 指紋センサー（例えば、 T 61 内蔵の指紋センサー、すべて 
の外部 USB キーボードの指紋センサーなど）のソフトウェアです。 

Windows Vista のログオン 

Windows Vista オペレーティング*システムにログオンするときには、随時、 A 山 henTec 指紋センサーも 
UPEK 指紋センサーも使用できます。 

1. Lenovo Fingerprint Software バージョン 3.2.0.275 な降をインストールします。 

2. ThinkVantage 指紋認証ソフトウェアバージョン 5.8.2.4824 な降をインストールします。 

3. PC を再起動します。指紋登録ウィザードが自動的に開始されます。 

4. ThinkVantage 指紋認証ソフトウェアを使用して、外部指紋センサーに指紋を登録します。自動的に 
開始されない場合は、『スタート』-►プログラム- ► rThinkVantage 』-► ThinkVantage Fingerprint 
Software の順にクリックして、登録を開始します。 

5. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 

6. コンピューター画面のプロンプトに従い、外部指紋センサーを使用して指を登録します。 

7. ウィンドウの上部にある『設定』をクリックします。 

8. 『Windows にログインするとき、パスワードではなく指紋スキャンを使用する』チェック•ボックス 
を選択し、 『 OK 』 をクリックしてから、『閉じる』をクリックしてウィンドウを閉じます。 

9. コンピューターを再起動し、外部指紋センサーで Windows にログオンするために指紋を使用できる 
ことを確認します。 

10. 指紋の登録を使用して、内蔵指紋センサーで指紋を登録します。自動的に開始されない場合は 、 r ス 

夕ート』- ► 『プログラム』- ►『 ThinkVantage』-►『Lenovo Fingerprint Software 』 の順にクリック 
して、登録を開始します。 

11. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 

12. コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。 

13. ウィンドウの上部にある『設定』をクリックします。 

14. 『Windows にログインするとき、パスワードではなく指紋スキャンを使用する』チェック•ボックス 
を選択し、 『 OK 』 をクリックしてから、『閉じる』をクリックしてウィンドウを閉じます。 

15. コンピューターを再起動し、内蔵指紋センサーで Windows にログオンするために指紋を使用できる 
ことを確認します。 

Windows XP のログオン 

WindowsXP オペレーティング*システムにログオンするときには、随時、 A 山 henTec 指紋センサーも 
UPEK 指紋センサーも使用できます。 

シナリオ 1 -USB キーボードを備えた ThinkPad T400 (ドメインにを続されていない） 

Windows XP のようこそ画面を使用します。 


1. Lenovo Fingerprint Software バージョン 3.2.0.275 な降をインストールします。 

2. ThinkVantage 指紋認証ソフトウエアバージョン 5.8.2.4824 な降をインストールします。 

3. WindowsXP のようこそ画面を使用可能にします。 

a . 『コントロールパネル』- ► 『ユーザーアカウント』 を開きます。 

b . 『ユーザーのログオンやログオフの方法を変更する』をクリックします。 
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c . 『ようこそ画面を使用す る』チェック•ボックスを還択します。 

このチェック•ボックスが運択不可の場合は、65ページの『シナリオ 2- USB キーボードを備えた 
ThinkPad T 400 ( ドメインに接続されている)』を参照してください。 

4. 『スタート 』- ► 『プログラム 』- ► 『 ThinkVantage 』 -► 『Lenovo Fingerprint Software 』 の順にクリック 
して、登録を開始します。 

5. Windows パスワードを入力するようにまめられたら入力し、登録する指を選択します。 

6. コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。 

7. ウインドウの上部にある『設定』をクリックします。 

8. 『Windows じログインするとき、パスワードではなく指紋スキャンを使用する』 チェック•ボックス 
を選択し、 『ユーザーの簡易切り替えサポートを無効じする』 チェック•ボックスをクリアし、 

『 OK 』 をクリックしてから、 『閉じる』 をクリックしてウインドウを閉じます。 

9. コンピューターを再起動し、内蔵指紋センサーで Windows にログオンするために指紋を使用できる 
ことを確認します。 

10. 外部 USB キーボードを接続します。 

11. 『スタート』 吟 『プログラム』 吟 『 ThinkVantage 』 今 『ThinkVantageFingerprint Software 』 の順に 

クリックして、登録を開始します。 

12. 『指紋』- ► 『指紋を登緑/編集』 をクリックしてから、 『ホへ』 をクリックして、 『 Windows パス 
ワード』ウインドウを表をします。 

13. Windows パスワードを入力するように求められたら入力し、登録する指を選択します。 

14. 画面のプロンプトに従い、 USB キーボードの外部指紋センサーを使用して指を登録します。 

15. 指紋登録ウイザードを完了してから、 『完了』 をクリックしてウイザードを閉じます。 

16. 『孔 inkVantage Fingerprint Software 』 ウインドウで 、 f 設定』- ► 『システム設定』 をクリックして、 
『ThinkVantage Fingerprint Software 設定』ウインドウを表をします。 

17. 『ログオン』タブで、『ユーザーの簡易切り替え』チェック•ボックスを運択します。 

18. 『 OK 』 をクリックしてから、 『 ThinkVantage 指紋認証ソフトウェア』ウインドウを閉じます。 

19. コンピューターを再起動し、内蔵または外部指紋センサーで Windows にログオンするために指 
紋を使用できることを確認します。 

シナリオ 2 - USB キーボードを備えた ThinkPad T400 (ドメインにを統されている） 

Client Security Solution のログオン • インターフェース （ GINA ) を使用します。 

1. Lenovo Fingerprint Software バージョン 3.2.0.275 な降をインストールします。 

2. ThinkVantage 指紋認証ソフトウェアバージョン 5.8.2.4824 な降をインストールします。 

3. Client Security Sol 山 ion バージョン 8.20.0035 な降をインストールします。 

4. USB キーボードがシステムに接続されていることを確認します。 

5. PC を再起動します。指紋登録ウィザードが自動的に開始されます。自動的に開始されない場合は、 

『スタート』 吟 『プログラム』 吟 f ThinkVantage 』 吟 『ThinkVantage Fingerprint Software 』 の順に 

クリックして、登録を開始します。 

6. Windows パスワードを入力するようにまめられたら入力し、登録する指を運択します。 

7. コンピューター画面のプロンプトに従い、 USB キーボードの外部指紋センサーを使用して指を登録 
してから、 『かへ』 をクリックしてウインドウを表をします。 

8. 『Client Security Solution を構成する』 チェック•ボックスを選択してから、 『完了』 をクリックし 
てウインドウを閉じます。 

9. r スタート』-►プログラム- ►『 ThinkVantage 』-► Lenovo Fingerprint Software の順にクリックして、 
登録を開始します。 

10. Windows パスワードを入力するようにまめられたら入力し、登録する指を運択します。 
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11. コンピューター画面のプロンプトに従い、内蔵指紋センサーを使用して指を登録します。 

12. ウィンドウの上部にある『設定』をクリックします。 

13. 『Windows にログインするとき、パスワードではなく指紋スキヤンを使用する』チェック•ボックス 
をクリアし、 『 OK 』 をクリックしてから、『閉じる』をクリックしてウィンドウを閉じます。 

14. コンピューターを再起動し、ご自分のパスワードを使用して Windows にログオンします。 

15. 『スタート』-►プログラム- ►『 ThinkVantage 』-► Client Security Solution をクリックして 、 CSS 
を開始します。 

16. 『拡張』メニューから『セキュリティー•ポリシーの管巧』を選択して 、 『Policy Manager 』 ウィン 
ドウを表示します。 


17. 『ユーザー処置』パネルで 『 Windows へのログオン』を選択します。 

18. 『セキュリティー•ポリシー』パネルで『このユーザー処置にデフオルトのセキュリティー•ポリ 
シーを使用します』を選択します。 

19. 『 OKJ をクリックしてから、『はい』をクリックして、コンピューターを再起動します。 

20. 再起動後に、内蔵または外部指紋センサーで Windows にログオンするために指紋を使用できる 
ことを確認します。 

Client Security r)olution と Password Manager 

Windows ログオンとは異なり 、 Client Security Solution と Password Manager からの認証要ボは、優先指紋セ 
ンサーでのみ機能します。例えば、指紋センサー付きキーボードが接続されている場合、その指紋セン 
サーが優先デバイスになります。指紋センサー付きキーボードが接続されていない場合は 、 ThinkPad 
内蔵指紋センサーが優先デバイスになります。 

優先デバイスを変更するには、义のようなレジストリー項目を作成します。 

[ HKLM ¥ Software ¥ Lenovo¥TVT Common¥CLient Security SoLution ] 

REG _ DW 0 RD " PreferInternaLFPSensor "=1 

まジ.レジストリー*キー 


名前 

値 

説明 

PreferInternaLFPSensor 

日（デフ ォ J レト） 

指紋センサー付きキーボードが接続 
されているときじは必ず、外部指紋 
センサーが優先されるように指定し 
ます。 

1 

内蔵指紋センサーが優先されるよう 
じ指定します。 


プリブート認証- BIOS パスワードの代わりに指紋を使用する 

Windows ログオンとは異なり、 BIOS パスワードの認証要求は、 BIOS が使用されるように構成されている 
ときにのみ、指紋センサーで機能します。デフォルトでは、 BIOS は、指紋センサー付きキーボードが接 
続されている場合、そのキーボードによる指紋の読み取りを認識します。指紋センサー付きキーボードが 
接続されていない場合、 BIOS は、内蔵指紋センサー•デバイスでの指紋読み取りを認証に使用します。 

外部指紋センサー付きキーボードが接続されているときでも 、 Reader Priority の BIOS 設定を、内蔵指紋セ 
ンサーを強制的に使用するように変更できます 。 Reader Priority のデフォルト値は 『 External 』 です。設定 
を 『Internal Only 』 に変更して、内蔵指紋センサーを強制的に使用することができます。 

注：この BIOS 設定は、 BIOS 上の指紋プロンプトのみに適用されます 。 Windows ログオンや Client 
Security Solution の指紋認証要求には影響しません。 


66 Client Security Solution 8.21 デプ□イメ ント-ガイド 











プリブート認証を使用可能にするための Fingerprint Software の構成 

BIOS でスーパーバイザー、パワーオン、またはハードディスク-ドライブ•パスワードを設定した 
場合は、これらのパスワードを入力する代わりに、認証に指紋認証ソフトウェアを使用するように 
構成できます。 

Lenovo Fingerprint Software - 内巧巧は七ンサーの 1ft 合 

1. 『スタート』- ► r プログラム』- ► rThinkVantage』-► 『Lenovo Fingerprint Software 』 の順にク 

リックして、 Fingerprint Software を開始します。 

2. 指紋を読み取らせるか、または Windows パスワードを入力するように求められたら、パスワード 
を入力します。 

3. ウィンドウの上部にある『設定』をクリックします。 

4. 『パワーオンセキュリティとハードドライブのパスワードではなく指紋スキヤンを使用する』 チェッ 
ク•ボックスと 『パワーオンセキュリティのオプシヨンを常に表示する』 チェック•ボックスを選 
択してから、 『OK』 をクリックしてウィンドウを閉じます。 

5. 登録された指紋の1つを選択して、指紋を使用可能に設定し、 BIOS パスワードを置き換えます。 

6. 『閉じる』 をクリックして、ウィンドウを閉じます。 

ThinkVantage Fingerprint Software (Windows XP) -か却巧は七ンサーの場合 

1. r スタート』 -► プログラム - ► 『 ThinkVantage 』 -► ThinkVantage Fingerprint Software の 順 にクリ ックし 

て、 Fingerprint Software を開女台します。 

2 . ウィンドウの上部にある 『設定』-**『パワーオン•セキュリティー』 をクリックします。 

注：『パワーオン•セキュリティー』 設定が選択不可の場合は、义のようなレジストリー項目を 
作成して、この設定を表示します。 

[ HKEY _ LOCAL _ MACHINE ¥ SOFTWARE¥Protector Suite QL ¥1.0] 

REG _ DW 0 RD " BiosFeatures " = 2 

3. 『コンピューターの起動に指紋を使用す る』チェック•ボックスを選択してから、 『OK』 をク 
リックしてウィンドウを閉じます。 

4. 『指紋』- ► 『指紋を登録/ お 集』 をクリックして、ウィンドウを表示します。 

5. 指紋を読み取らせるか、または Windows パスワードを入力するように求められたら、パスワード 
を入力します。 

6. 登録された指紋の1つを選択して、指紋を使用可能に設定し、 BIOS パスワードを置き換えます。 

7. 『終了』 をクリックして、ウィンドウを閉じます。 

ThinkVantage Fingerprint Software (Windows Vista) -か巧巧は七ンサーの墙合 

1. f スター ト』吟 『プログラム』 吟 『 ThinkVantage 』 今 『ThinkVantageFingerprint Software 』 の順にク 

リックして、 Fingerprint Software を開始します。 

2. 指紋を読み取らせるか、または Windows パスワードを入力するように求められたら、パスワード 
を入力します。 

3. ウィンドウの上部にある『設定』をクリックします。 

4. 『パワーオンセキュリティとハードドライブのパスワードではなく指紋スキヤンを使用する』 チェッ 
ク-ボックスと 『パワーオンセキュリティのオプシヨンを常に表示する』 チェック.ボックスを選 
択してから、 『OK』 をクリックしてウィンドウを閉じます。 

5. 登録された指紋の1つを選択して、指紋を使用可能に設定し、 BIOS パスワードを置き換えます。 

6. 『閉じる』 をクリックして、ウインドウを閉じます。 
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付録 A OmniPass を使用する路の考慮事項 


Softex ◎の OmniPass は、 Web サイトやアプリケーションにま全にログインできるようにし、 PC 上のデー 
夕を保護するプログラムです。 OmniPass は、 Client Security Solution が提供するインターフェースを通 
じて PC の TPM にアクセスし、利用することができます。 TPM を利用するには、 OmniPass をインス 
卜ールする前に Client Security Solution をインストールする必要があります。両方の製品が提供する機 
能が類似しているため、 OmniPass をインストールすると Client Security Solution の機能の一部が無効に 
なったり、隠される場合があります。 

さらに、両方のプログラムをインストールすると競合が発生します。义の表に発生しうる競合をリスト 
しています。これらをよく検討してください。 


まリ. Omnipass との機能の才ーバーラップ 


機能 

機能のオーバーラップ 

考慮事項 

指紋認証 

ThinkVantage 指紋認証ソフトウェア 
と OmniPass は、それぞれ別個に指紋 
登録を必要とします。 

证 inkVantage 指紋認証ソフトウェア 
への指紋登録は、指紋を使用する 
起動前認証をサポートするために 
必要です。 ThinkVantage 指紋認証ソ 
フトウェアに登録された指紋は、 
OmniPass に登録された指紋から独立 
しています。 OmniPass をインストー 
ルすると、 『スタート』メニューか 
ら证 inkVantage 指紋認証ソフトウェ 
アのコントロール-センターのリン 
クが隠されます。 

パスワード管理 

Client Security Solution と OmniPass は 
両方とも Password Manager を提供し 
ます。 

Client Security Solution の Password 
Manager は OmniPass をインストール 
すると自動的じ無効じなります。 

Windows ログオン 

Client Security Solution と OmniPass は 
両方とも Windows ログオン•イン 
ターフェースを提供します。 

Client Security Solution の ログオン* 

インターフェースは OmniPass をイ 
ンストールすると自動的に無効じな 
ります。 

注 ： Client Security Solution ログオ 
ン•インターフェースが無効になる 
と、 Windows ログオン中は、忘れ 
てしまった Windows パスワードを 
Client Security Solution のパスワード 
の復元機能を使用して復元すること 
はできません。 

ファイルの暗号化 

Client Security Solution 8.21 と 

OmniPass は両方ともフアイルの暗号 
化アプリケーションを提供します。 

これら両方のバージョンを共存させ 
ることはできますが、混乱を避ける 
ため、 Client Security Solution 7.0 およ 
びそれ K 前の Private Disk はアンイン 
ストールしてください。 

暗号インターフェース 

Client Security Solution と OmniPass 
は両方とも CSP および PKCS #11 
モジュールを提供します。 Client 
Security Solution 暗巧つンターフェー 
スでは、 OmniPass から独立した認証 
が使用されます。 

暗号操作では Client Security Solution 
の CSP または PKCS #11 モジュール 
を選択しないでください。 


◎ Copyright Lenovo 2008, 2012 
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まな Omnipass と の機能の才ーバー ラップ（続き) 


機能 

機能のオーバーラップ 

考慮事項 

ユーザー認証 

Client Security Solution と OmniPass の 

両方がユーザー認証のプロンプトを 
出す場合があります。 

Client Security Solution と OmniPass の 
両方を使用している場合、ユーザー 
がそれらの認証プロンプトの違いを 
理解し、それぞれのプロンプトに 
(指紋を含む）適切な認証情報を入力 
することが必要です。 

機能へのアクセス 

Client Security Solution および 
OmniPass は『スタート』メニュー 
にあるアプリケーシヨンからそれぞ 
れの機能にアクセスするため、ユー 
ザーが混乱する可能性があります。 

このため、『スタート 』木二玉一か 
ら Client Security Solution を削除して 
ください。 


上記の考慮事項に加え、 Omnipass ではな下のような問題が検出される場合があります。 

• 指紋プラグインからメモリー不足のエラー-メッセージが表示された場合は、このエラー-メッセージ 
を無視して、 Omnipass の使用を続巧してください。 

• Windows パスワードが NULL のユーザーの 場合は、 TPM の 登録は機能しません。 
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付録 B ThinkPad ノートブック • モデルで Lenovo 指紋七ンサー付 
きキーボードを使用する隐の特別な考慮事項 


一部の ThinkPad ノートブック.モデルで使用する指紋センサー.デバイスは、 Lenovo 指紋センサー付き 
キーボードで使用する指紋センサー.デバイスと異なります。一部の ThinkPad ノートブック.モデルで指 
紋センサー付きキーボードを使用するときには、特別な考慮が必要となる可能性があります。 

詳細については 、 Lenovo Web サイトにある指紋認証ソフトウエア-ダウンロード-ページにアクセスし 
てください。該当する孔 inkPad ノートブック•モデルがリストされています。 

指紋センサー付きキーボードと共に使用するときに特別な考慮が必要なのは 、 『Lenovo Fingerprint 
Software 』 の欄にリストされているモデルのみです。『孔 inkVantage Fingerprint Software 』 を使用する他の 
すべての孔 inkPad ノートブック.モデルは、指紋センサー付きキーボードに組みをまれているデバイスと 
互換性のある指紋センサー-デバイスを使用し、特別な考慮は必要ありません。 


設定と七ットアップ 

Lenovo Fingerprint Software 2.0 な降は 、 ThinkPad ノー トブックで使用する指紋センサー • デバイスと共に使 
用できるようにインストールする必要があります。ユーザーは、内蔵されている指紋センサー•デバイス 
を使用して 、 Lenovo Fingerprint Software に指紋を登録する必要があります。 

Think Vantage 指紋認証ソフトウェア 5.8 な降は 、 Lenovo Fingerprint Keyboard と共に使用できるようにイン 
ストールする必要があります。ユーザーは、その指紋センサー付きキーボードを使用して 、 ThinkVantage 
指紋認証ソフトウェアに指紋を登録する必要があります。 

注： 1つのデバイスに登録された指紋を、他のデバイスと交換することはできません。 


ワークスべース認証 

ワークスペース認証には、標準装備の指紋センサー-デバイスまたは指紋センサー付きキーボードが 
使用されます（システム電源をオンにする際のパスワードまたはハードディスク-ドライブのパス 
ワードが指紋認証に置き換わります)。システムの電源がオンになると、使用するデバイスが BIOS に 
よって決定されます。 

デフォルトでは、 BIOS は、指紋センサー付きキーボードが接続されている場合、そのキーボードによ 
る指紋の読み取りのみを受け入れます。ワークスペース認証の場合、指紋センサー付きキーボードが 
接続されているときには、内蔵されている指紋センサー-デバイスによる指紋の読み取りは無視され 
ます。指紋センサー付きキーボードが接続されていない場合は、ワークスペース認証に、内蔵されて 
いる指紋センサー-デバイスが使用されます。 

『 ReaderPriority 』 の BIOS 設定を、標準装備の指紋センサーを使用するように変更できます 。 『Reader 
Priority 』 が 『Internal only 』 に設定されている場合は、ワークスぺース認証に、内蔵されている指紋セン 
サーを使用できます。この場合は、指紋センサー付きキーボードによる指紋の読み取りは無視されます。 


Windows ログオン 

Lenovo Fingerprint Keyboard および ThinkPad で使用される指紋センサー • デバイスは、指紋認証で Windows 
にログオンするためのインターフェースをそれぞれ独自に備えています。 

重要： 指紋ログオン-インターフェースが正しく構成されていない場合は、互換性の問題により、ログオ 
ンに問題が生じる可能性があります。 
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Windows XP - ようこそ画面 

Windows XP のようこそ画面での Lenovo Fingerprint Keyboard または標準装備の孔 inkPad 指紋センサーを使 
用したログオンをサポートするために 、 Lenovo Fingerprint Software と ThinkVantage 指紋認証ソフトウェア 
の両方のログオン•インターフェースを使用可能にしておく必要があります。 

Windows XP のようこそ画面が使用可能になっている状態でログオンするときに、両方の指紋ログオン • 
インターフェースが使用可能になっている場合は、ユーザーが、指紋センサー付きキーボードと内蔵され 
ている指紋センサー-デバイスのどちらかで指紋を読み取らせて、ログオンできます。 

注： BIOS の 『 Read ぴ Priority 』 設定は、この状態では適用されません。両方のデバイスが使用可能になっ 
ているときには、どちらかのデバイスをログオンに使用できます。 

WindowsXP のようこそ画面を使用可能にするには、 WindowsXP の『コントロールパネル』の『ユーザー 
アカウント』を使用します。 

Lenovo Fingerprint Software (内蔵された指紋センサーの場合）および ThinkVantage Fingerprint Software (指紋セ 
ンサー付きキーボードの場合）の指紋 ログオン. インターフェースを使用可能にするには、それぞれの 
Fingerprint Software アプリケーシヨンの『設定』オプシヨンを使用します。 


Windows XP - クラシック.ログオン.プロンプト 

重要： WindowsXP のクラシック.ログオン•プロンプト (GINA ログオン•インターフェース）が使用可能 
になっている場合は 、 Lenovo Fingerprint Software と孔 inkVantage 指紋認証ソフトウェアの指紋ログオン • 
インターフェースを同時に使用可能にしてはなりません。両方のログオン-インターフェースを使用可能 
にして、 WindowsXP のようこそ画面を使用しない場合は、予期しない結果が生じる可能性があります。 

Windows XP のクラシック•ログオン-プロンプトが必要で（例えば、ドメインへのログオンをサポートす 
る場合など)、いずれかのセンサーによる指紋認証ログオンを選択した場合は 、 Client Security Solution ログ 
オン*インターフェースを使用可能にする必要があります 。 Client Security Solution ログオン•インター 
フェースが使用可能になっているときには、指紋センサー付きキーボードと内蔵されている指紋セン 
サー.デバイスのどちらを使用しても、 Windows にログオンできます。 

注： このオプションは 、 Client Security So 山 tion 8.21 な降でのみ、使用できます。 

Client Security Solution のログオン•インターフェースは、『スタート』メニューの 『 Client Security 
Sol 山 ion 』 から使用可能にすることができます 。 Client Security Solution のログオン•インターフェースを 
構成するためのオプションは 、 Client Security So 山 tion の『拡張』メニューから『セキュリティー•ポ 
リシーの管理』を還択すると、表示できます。 

Lenovo Fingerprint Software および ThinkVantage Fingerprint Software のログオン* インターフェースが、 
それぞれの Fingerprint Software アプリケーシヨンの『設定』オプションで使用不可になっていること 
を確認してください。 


Windows Vista 

Windows Vista での Lenovo Fingerprint Keyboard または標準装備の孔 inkPad 指紋センサーを使用したログオ 
ンをサポートするために 、 Lenovo Fingerprint Software と孔 ink Vantage 指紋認証ソフトウェアの両方のログ 
オン•インターフェースを使用可能にしておく必要があります。 

Windows Vista で両方の指紋ログオン-インターフェースが使用可能になっている場合は、ユーザーが、 
指紋センサー付きキーボードと内蔵されている指紋センサー-デバイスのどちらかで指紋を読み取ら 
せて、ログオンできます。 
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注： 

1. BIOS の 『 Read ぴ Priority 』 設定は、このシナリオでは適用されません。両方のデバイスが使用可能に 
なっているときには、どちらかのデバイスをログオンに使用できます。 

2. どちらの指紋センサーもログオンに使用できますが、指紋ログオンの場合は 、 Windows Vista のログオ 
ン画面に1つのタイルまたはボタンしか表示されない可能性があります。 

また、指紋センサー付きキーボードまたは内蔵されている指紋センサー-デバイスを使用したログオ 
ンをサポートするために、指紋認証ソフトウェアのログオン•インターフェースではなく 、 Client 
Security Sol 山 ion のログオン•インターフェースを使用できます。ただし、この機能は 、 Client Security 
Solution 8.21 な降でのみ使用できます。 

Client Security Solution のログオン*インターフェースを使用する場合は、それぞれの Fingerprint Software ア 
プリケーションの『設定』オプションから 、 Fingerprint Software のログオン•インターフェースを使用不 
可にする必要があります 。 Qient Security Solution のログオン•インターフェースは、『スタート』メ 
ニューの 『 Client Security Sol 山 ion 』 から使用可能にすることができます 。 Client Security Solution のログオ 
ン•インターフェースを構成するためのオプションは 、 Client Security Solution の 『拡張』 メニューから 
『セキュリティー • ポリシーの管理』 を選択すると、表をできます。 


Client Security Solution での認証 

注： 次の情報は 、 Client Security Solution 8.21 な降のみに適用されます 。 Client Security Solution の従来の 
バージョンでは、内蔵されている指紋センサー-デバイスと指紋センサー付きキーボードとの併用 
はサポートされていませんでした。 

Client Security Solution を使用して指紋認証が必要なアクションを実巧するときには（例えば 、 Password 
Manag ぴを使用して Web サイトにパスワードを自動入力する場合など)、ユーザーは、指紋センサー付 
きキーボードが接続されていたら、指紋を求められたときに指紋を読み取らせる必要があります。指 
紋センサー付きキーボードが接続されているときには、標準装備の指紋センサー-デバイスによる指 
紋の読み取りは無視されます。指紋センサー付きキーボードが接続されていない場合は、内蔵されて 
いる指紋センサーを使用する必要があります。 

Client Security Solution での認証に標準装備の指紋センサーを使用するようにユーザーにホめるには、レ 
ジストリー設定を使用できます。このレジストリー項目が設定された場合は 、 Client Security Solution 
での指紋認証を標準装備のセンサーで行なう必要があり、指紋センサー付きキーボードからの指紋の 
読み取りは無視されます。 

レジストリー項目は义のとおりです。 

[HKLri¥Software¥Lenovo¥TVT CommonYClient Security SoLution] 

REG_DW0RD "PreferlnternalFPSensor"=1 

Client Security So 山 tion での指紋認証を標準装備のセンサーで行なう必要があるとき、上記のレジストリー 
項目のデフォルト値は0で、指紋センサー付きキーボードからの指紋の読み取りは無視されます。 

この設定は 、 Client Security Sol 山 ion の Administrative Template ファイルを Active Directory のグループ•ポリ 
シーと共に使用して、変更することもできます。 

注： 

1. BIOS の 『Reader Priority 』 設定が 『Internal onlv 』 に設定されている場合、レジストリー項目値を1に 
設定することをお勧めします。これにより 、 Client Security So 山 tion での認証で、 BIOS ワークスペース 
認証の設定をシミュレートできるようになります。 

2. BIOS 設定とこのレジストリー設定は独立しています。 
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付録 C Windows パスワードのリ七ット後に CSS でパスワード 
を同期化する 

Windows パスワードがリセットされた後、 Client Security Solution によって、新しい Windows パスワードを 
入力するように連続して求められますが、パスワードが誤っていることを示すエラー-メッセージが表 
示されます。 Windows セキュリティーはこのような方法で設計されているので、 Windows パスワード 
がリセットされると、セキュリティー-クレデンシャルが無効になります。パスワードをリセットし 
ようとするたびに、 Windows から警告メッセージが出されます。また、 Windows パスワードのリセッ 
卜の影響を受けるのは Client Security Solution のみではなく、 Windows 邸 S によって暗号化された証明 
書とファイルへのアクセスも失われます。 Client Security So 山 tion が（パスワードをリセットした結果と 
して） Windows セキュリティー*クレデンシャルにアクセスできなくなると、 Client Security Sol 山 ion は 
新しいパスワードを入力するように連続してボめ、入力されたパスワードが無効であることを示すエ 
ラー.メッセージを表示します。 Windows セキュリティー.クレデンシャルがこの方法で無効になる 
と、 Client Security Solution は機能できなくなります。 Windows パスワードが変更されたら（例えば、旧 
パスワードと新パスワードの両方を指定するように求められた場合など)、新しいパスワードによっ 
てセキュリティー-クレデンシャルが保存され、保護されます。 

Windows パスワードのリセット後に CSS でパスワードを同巧化するには、义のようにします。 

1. Windows パスワードをリセットする前にシステムのバックアップを復元します。 

2. Windows パスワードを元のパスワードにリセットします。これにより、 Windows セキュリティー•ク 
レデンシャルへのアクセスが復元されます。 

3. 新規 Windows アカウントを作成し、破損したクレデンシャルを使用した元のアカウントではなく、新 
規アカウントの使用を開始します。 

4. 次の方法に従って、システムをリカバリーします。 

a . Password Manager を起動します。 

b . 『インポ ー ト /エ クスポ ート』をクリックし、 『項目リストの エ クスポ ート』を運択します。 

C. ファイルを保存する場所を指定し、ファイル名を入力します。 

d . 項目ファイルのパスワードを入力します。 

e . Password Manager を閉します。 

f . Client Security Solution を起動します。 

g . 巧張-►セキュリティー設定の再構成の 順にクリックします。 

h . 新しい Windows パスワードを入力するように求められたら、パスワードを入力します。 

i . Client Security Sol 山 ion から、システムを再起動するように求められます。 

j . システムが再起動したら、 Password Manager を起動します。 

k . 『インポート / エクスポート』 をクリックし、 『項目リストのインポート』 を運択します。 

l. な前に保存したファイルを参照します。 

m . パスワードを入力するように求められたら、入力します。 
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付録 D 特記事項 


本書に記載の製品、サービス、または機能が日本においては提供されていない場合があります。日本で 
利用可能な製品、サービス、および機能については、レノボ•ジャパンの営業担当員にお尋ねくださ 
い。本書で Lenovo 製品、プログラム、またはサービスに言及していても、その Lenovo 製品、プログ 
ラム、またはサービスのみが使用可能であることを意味するものではありません。これらに代えて、 
Lenovo の知的所有権を侵害することのない、機能的に同等の製品、プログラム、またはサービスを 
使用することができます。ただし、 Lenovo な外の製品、プログラム、またはサービスの動作•運用に 
関する評価および検証は、お客様の責任で行っていただきます。 

Lenovo は、本書に記載されている内容に関して特許権（特許出願中のものを含む）を保有している場合が 
あります。本書の提供は、お客様にこれらの特許権について実施権を許諾することを意巧するものではあ 
りません。実施権についてのお問い合わせは、書面にて下記宛先にお送りください。 

Lenovo (United States), Inc. 

1009 Think Place - Building One 
Morrisv 川 e, NC 27560 
US. A. 

Attention: Lenovo Director of Licensing 

Lenovo およびその直接または間接の子会社は、本書を特定物として現存するままの状態で提供し、商品性 
の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含むすべての明示もしくは黙示の保証責任 
を負わないものとします。国または地域によっては、法律の強行規定により、保証責任の制限が禁じられ 
る場合、強行規定の制限を受けるものとします。 

この情報には、技術的に不適切な記述や誤植を含む場合があります。本書は定期的に見直され、必要な変 
更は本書の义版に組み达まれます。 Lenovo は予告なしに、随時、この文書に記載されている製品また 
はプログラムに対して、改良または変更を斤うことがあります。 

本書で説明される製品は、誤動作により人的な傷害または死 t を招く可能性のある移植またはその他の生 
命維持アプリケーションで使用されることを意図していません。本書に記載される情報が、 Lenovo 製品仕 
様または保証に影響を与える、またはこれらを変更することはありません。本書におけるいかなる記述 
も、 Lenovo あるいは第=者の知的所有権に基づく明示または黙示の使用許諾と補償を意味するものではあ 
りません。本書に記載されている情報はすべて特定の環境で得られたものであり、例として提示され 
るものです。他の稼働環境では、結果が異なる場合があります。 

Lenovo は、お客様が提供するいかなる情報も、お客様に対してなんら義務も負うことのない、自ら適切と 
信ずる方法で、使用もしくは配布することができるものとします。 

本書において Lenovo な外の Web サイトに言及している場合がありますが、便宜のため記載しただけであ 
り、決してそれらの Web サイトを推奨するものではありません。それらの Web サイトにある資料は、こ 
の Lenovo 製品の資料の一部ではありません。それらの Web サイトは、お客様の責任でご使用ください。 

この文書に含まれるいかなるパフォーマンス•データも、管埋環境下で決定されたものです。そのため、 
他の操作環境で得られた結果は、異なる可能性があります。一部の測定が、開発レベルのシステムで行わ 
れた可能性がありますが、その測定値が、一般に利用可能なシステムのものと同じである保証はありませ 
ん。さらに、一部の測定値が、推定値である可能性があります。実際の結果は、異なる可能性がありま 
す。お客様は、お客様の特定の環境に適したデータを確かめる必要があります。 


巧標 

K 下は、 Lenovo Corporation の米国および'その他の国における商標です。 


◎ Copyright Lenovo 2008, 2012 


77 



Lenovo 

Rescue and Recovery 
ThinkCentre 
ThinkPad 
Think Vantage 

Microsoft、Windows および Windows Vista は 、 Microsoft グループの商標です。 
他の会社名、製品名およびサービス名等はそれぞれ各社の商標です。 
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用語窠 

管理者 CThinkCentre )/ スーパーバイザー（孔 inkPad ) 
BIOS パスワード 

Advanced Encryption Standard ( aES ) 

B 音号イヒシ乂了ム (Cryptography system ) 

Embedded Secuntv Chip 

公開鍵/非対称鍵暗号化 （ Public - key / Asymmetric-key 
encryption ) 


スト レー ジ. ルー ト鍵 （ SRK ) 


管埋者パスワードまたはスーパーバイザー.パス 
ワードは、 BIOS 設定を変更する能力を制御する 
ために使用される。これには、エンべデッド•セ 
キュリティー-チップを使用可能または使用不可 
にして、 TPM 内に保存されたストレージ-ルート 
鍵をクリアする機能が含まれる。 

Advanced Encryption Standard はぶ游簿暗号化技法。 
アメリカ政府は、それまで使用していた DES 暗 
号化に置き換えて、このアルゴリズムをその暗号 
化技法として2000年10月に採用。 AES は、凶 
暴なアタックに対して56ビット DES キーよりも 
高度のセキュリティーを提供する。また AES で 
は、必要に応じて128、192および256ビット- 
キーの使用が可能。 

暗号化システムは、データの暗号化と復号の両方 
を斤う単一の鍵を使用する対称鍵暗号化と、2つ 
の鍵（全員に知られている公開鍵と鍵ペアの所有者 
のみがアクセス権を持つ秘密鍵）を使用する公開鍵 
暗号化に、大きく分類される。 

エンべデッド.セキュリティー . チップは、 TPM 
の別名。 

公開鍵アルゴリズムは通常、2つの関連した鍵の 
ペアを使用する。1つは秘密に保持されなければな 
らない秘密鍵で、もう一方は公開される鍵で広く 
配布される。鍵が1つあった場合、ペアのもう一 
方が推測できるようであってはならない。『公開 
鍵暗号化』という用語は、鍵の一部を公開情報に 
するというアイデアから得られる。すべてのパー 
ティーが同じ情報を保持しないことから、非対称鍵 
暗号化という用語も使用される。ある意巧では、1 
つの鍵がロック（暗号）を『ロック』し、別の鍵は 
それをアンロック（復号）することを要求される。 

ストレージ.ルート鍵 （ SRK) は 2 ク 48 ビット（ある 
いはそれな上）の公開鍵ペア。これは最初は空で、 
TPM 所有者が割り当てられたときに作成される。 
この鍵ペアは、エンべデッド.セキュリティー. 
チップをそのままでは放置しない。 TPM の外部に 
あるストレージの秘密鍵を暗号化（ラップ）し、 
TPM にロード - バックされたときにそれらを復号 
する。 SRK は、 BIOS にアクセスのある人なら誰 
でもクリアすることができる。 



対称鍵暗号化 （ Symmetric-key encryption ) 対称鍵暗号化暗号はデータの暗号化と復号に同じ 

鍵を使用する。対称鍵暗号は簡単で高速だが、主 
な欠点は、2 つの パーティーが何ら かの セキュアな 
方法で鍵を交換しなければならないことにある。 
公開鍵暗号化は、公開鍵は非セキュアな方法で配 
布可能であり、秘密鍵は転送されることがないの 
で、 この 問題を回避している 。 Advanced Encryption 
Standard は対称鍵の一例。 

TPM (Trusted Platform Module ) TPM は特別な目的を持ってシステム内にビルドさ 

れた集積回路で、強力なユーザー認証と PC 検査 
を可能にする。 TPM の主な目的は、機密情報への 
不適切なアクセスを防止することにある。 TPM は 
ハードウェア-ベースの信頼の基幹機能で、シス 
テム 上のさまざまな暗号 サー ビスを提供するよう 
に活用することができる。 TPM の別名はエンべ 
デッド.セキュリティー*チップ。 




ThinkVania 



